{"id":2142,"date":"2018-06-04T06:23:20","date_gmt":"2018-06-04T06:23:20","guid":{"rendered":"https:\/\/www.mmotechno.com\/?p=2142"},"modified":"2019-02-11T22:08:13","modified_gmt":"2019-02-11T22:08:13","slug":"api-pentest","status":"publish","type":"post","link":"https:\/\/www.mmotechno.com\/en\/api-pentest\/","title":{"rendered":"API Pentest"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\n

\nLe d\u00e9veloppement de logiciels n\u2019est plus ce qu\u2019il \u00e9tait. Auparavant c\u2019\u00e9tait de grosses boites noires qui effectuaient le travail alors qu\u2019aujourd\u2019hui les logiciels sont segment\u00e9s en micro-services qui sont beaucoup plus facile \u00e0 d\u00e9velopper, tester g\u00e9rer et sont en mesure de grossir sur demande. G\u00e9n\u00e9ralement, ces applications offrent des API (Application Programming Interface) publiques afin qu\u2019on puisse les utiliser facilement et les int\u00e9grer \u00e0 d\u2019autres outils ou logiciels.\n<\/p>\n\n

\n\u00c0 l\u2019instar d\u2019autres produits num\u00e9riques, ces API repr\u00e9sentent une surface ouverte prompte aux diff\u00e9rentes formes d\u2019attaque. Les entreprises qui se soucient de la s\u00e9curit\u00e9 doivent absolument s\u2019assurer que ces API font partie des tests de s\u00e9curit\u00e9 tels que les PenTests, Audit, \u00e9valuation des risques, des vuln\u00e9rabilit\u00e9s etc. Toutefois, de par leur nature, le pentest peut se prouver plus complexe puisque les outils habituels ne s\u2019adaptent pas n\u00e9cessairement tr\u00e8s bien de par leur surface modulaire. Il faut \u00e9viter de retourner \u00e0 des scans manuels de Pentest et des scripts ce qui aura pour effet de r\u00e9duire la v\u00e9locit\u00e9 des Pentests et laissera des risques non d\u00e9couverts.\n<\/p>\n\n

\nLa m\u00e9thode a privil\u00e9gier est plut\u00f4t de bien comprendre les outils \u00e0 la disposition de l\u2019\u00e9quipe et d\u2019\u00e9valuer s\u2019il y a des d\u00e9ficit dans le scan des micro-services, connecteurs B2B et les API mobiles. Bien qu\u2019il soit primordial de scanner ces surfaces d\u2019attaques, il est encore plus important des d\u00e9couvrir. En effet, ces API n\u2019utilisent pas n\u00e9cessairement le protocole HTTP et sont souvent d\u00e9coupl\u00e9s. Ils sont souvent b\u00e2tis sur des Framework tels que gRPC, Thrift etc. Afin de faire un audit de qualit\u00e9 il est important d\u2019adapter nos outils de Pentest pour faire des scans non authentifi\u00e9s et authentifi\u00e9s.\n<\/p>\n\n

\nIl faut donc aussi penser \u00e0 obtenir le jeton d\u2019authentification ou les informations d\u2019identification et de s\u2019assurer de la s\u00e9curit\u00e9 de ces sources d\u2019AAA.\n<\/p>\n\n

\nEn r\u00e9sum\u00e9, les tests de micro-services et d\u2019API s\u2019int\u00e8grent dans vos processus de s\u00e9curit\u00e9 et afin d\u2019augmenter le ROI sur les investissements d\u00e9j\u00e0 fait, il est important de faire les ajustements n\u00e9cessaires tant au niveau des m\u00e9thodologies que des outils.\n<\/p>\n\n

\nMMO Techno se d\u00e9marque de par son approche holistique et de qualit\u00e9. Contactez-nous pour en savoir d\u2019avantage.\n<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

Le d\u00e9veloppement de logiciels n\u2019est plus ce qu\u2019il \u00e9tait. Auparavant c\u2019\u00e9tait de grosses boites noires qui effectuaient le travail alors qu\u2019aujourd\u2019hui les logiciels sont segment\u00e9s en micro-services qui sont beaucoup plus facile \u00e0 d\u00e9velopper, tester g\u00e9rer et sont en mesure de grossir sur demande. G\u00e9n\u00e9ralement, ces applications offrent des API (Application Programming Interface) publiques afin […]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[],"class_list":["post-2142","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/posts\/2142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/comments?post=2142"}],"version-history":[{"count":4,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/posts\/2142\/revisions"}],"predecessor-version":[{"id":2146,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/posts\/2142\/revisions\/2146"}],"wp:attachment":[{"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/media?parent=2142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/categories?post=2142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mmotechno.com\/en\/wp-json\/wp\/v2\/tags?post=2142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}