Que analysons-nous ?
Nous exécutons des outils d'analyse active qui détectent de vraies vulnérabilités via des tests directs contre votre infrastructure. Ce type d'analyse va au-delà de la reconnaissance passive, en vérifiant activement l'existence de failles de sécurité qui pourraient être exploitées par des attaquants.
Outils utilisés
Nuclei
Plus de 6 000 templates de vulnérabilités connues : CVE, mauvaises configurations, panneaux exposés, etc.
WPScan
Audit spécifique WordPress : plugins vulnérables, thèmes obsolètes, utilisateurs exposés et configurations non sécurisées.
Gobuster
Découverte de répertoires et fichiers cachés via force brute avec des wordlists spécialisées.
Wapiti
Détection active de vulnérabilités web : XSS, SQL Injection, SSRF, Command Injection, et plus.
Nikto
Scanner web classique avec plus de 7 000 vérifications de sécurité, incluant fichiers dangereux et versions vulnérables.
Captures
Nous capturons des preuves visuelles de panneaux d'administration, pages de login et services exposés.
Pourquoi est-ce important ?
L'analyse passive détecte les problèmes de configuration, mais les vulnérabilités actives comme SQL Injection ou XSS ne peuvent être confirmées qu'en les testant directement. Cette analyse simule ce que ferait un attaquant réel, mais de manière contrôlée et documentée, vous permettant de connaître vos faiblesses réelles avant qu'elles ne soient exploitées.
Vulnérabilités détectées
- SQL Injection dans les formulaires et paramètres URL
- Cross-Site Scripting (XSS) réfléchi et stocké
- Plugins et thèmes WordPress vulnérables
- Répertoires cachés avec des informations sensibles
- Panneaux d'administration non protégés
- Configurations par défaut non modifiées
- CVE connus dans les logiciels détectés
Que contient le rapport ?
Vous recevrez un rapport détaillé avec des preuves pour chaque vulnérabilité :
Format du rapport par vulnérabilité
| Champ | Description |
|---|---|
| Sévérité | Classification : Critique, Élevé, Moyen ou Faible selon l'impact et l'exploitabilité |
| Preuves techniques | Requêtes HTTP envoyées, réponses du serveur, captures d'exploitation |
| CVE associé | Identifiant CVE officiel lorsque la vulnérabilité est cataloguée |
| Impact potentiel | Analyse des conséquences : vol de données, escalade de privilèges, RCE, etc. |
| Étapes de reproduction | Instructions détaillées pour vérifier la découverte de manière indépendante |
Recommandations prioritaires
Chaque vulnérabilité inclut une solution spécifique et une priorité de remédiation.
Références techniques
Liens vers OWASP, NIST et la documentation éditeur pour chaque découverte.