AMÉLIORATION GLOBALE DE LA POSTURE DE SÉCURITÉ POUR UNE INSTITUTION FINTECH TECHNOLOGY FAST 500

ÉTUDE DE CAS

TESTS DE PÉNÉTRATION POUR LA RÉUSSITE FINANCIÈRE

Le principal fournisseur américain de produits et services de crédit basés sur la technologie pour les consommateurs sous-bancarisés améliore sa sécurité à l’aide de tests d’intrusion de sécurité

UNE ÉTUDE DE CAS SUR L’AUTOMATISATION DES PROCESSUS ROBOTIQUES

Le principal fournisseur américain de produits et services de crédit basés sur la technologie pour les consommateurs sous-bancarisés améliore sa sécurité à l’aide de tests d’intrusion de sécurité

Énoncé du problème

Le client est le principal fournisseur de produits et de services de crédit technologiques pour les consommateurs sous-bancarisés. Leur équipe de technologues basée à Chicago a développé une approche de prêt de nouvelle génération et ils travaillaient pour imaginer un monde où chaque individu a la possibilité de réussir financièrement sans être freiné par une cote de crédit à trois chiffres.

Le client s’est vite rendu compte que pour devenir un outil financier pour tous, il fallait qu’il soit sécurisé. C’est avec cette ambition « la sécurité d’abord » à l’esprit qu’ils se sont tournés vers Zuci pour découvrir les failles de sécurité dans leur suite de services de prêt et de crédit.

COMMENT ZUCI SYSTEMS A AIDÉ

Les ingénieurs de test de Zuci ont travaillé en étroite collaboration avec le client pour identifier les cas d’utilisation métier vulnérables

Réalisation d’une étude de faisabilité sur des outils de test d’intrusion commerciaux et open-source

Réalisé une large & analyses ciblées pour identifier les zones d’exposition potentielles et les services susceptibles de servir de points d’entrée

Liste de contrôle des meilleures pratiques de sécurité

Burpsuite
Kali Linux
Nessus7
NMAP
facteur

COMMENT ZUCI SYSTEMS A AIDÉ

Les ingénieurs de test de Zuci ont travaillé en étroite collaboration avec le client pour identifier les cas d’utilisation métier vulnérables

Réalisation d’une étude de faisabilité sur des outils de test d’intrusion commerciaux et open-source

Réalisation d’analyses larges et ciblées pour identifier les zones potentielles d’exposition et les services pouvant servir de points d’entrée
Liste de contrôle des meilleures pratiques de sécurité
Burpsuite
Kali Linux
Nessus7
NMAP
facteur

  • Mise en œuvre approfondie des méthodes de test d’intrusion standard suivantes au niveau du Web et de l’API
    • OWASP : Guide de test du projet de sécurité des applications Web ouvertes (OWASP)
    • OWASP : Top 10 de la sécurité des API OWASP – 2019
    • PTES : la norme d’exécution des tests d’intrusion (PTES)
  • Identifié toutes les sécurités vulnérables à l’aide d’un mécanisme de classement des risques pertinent
  • Classement de chaque vulnérabilité en fonction de la gravité, du potentiel de perte et de la probabilité d’exploitation
  • Solutions recommandées pour les problèmes susceptibles de créer des conséquences immédiates

LA SOLUTION

LA SOLUTION

  • Mise en œuvre approfondie des méthodes de test d’intrusion standard suivantes au niveau du Web et de l’API
    • OWASP : Guide de test du projet de sécurité des applications Web ouvertes (OWASP)
    • OWASP : Top 10 de la sécurité des API OWASP – 2019
    • PTES : la norme d’exécution des tests d’intrusion (PTES)
  • Identifié toutes les sécurités vulnérables à l’aide d’un mécanisme de classement des risques pertinent
  • Classement de chaque vulnérabilité en fonction de la gravité, du potentiel de perte et de la probabilité d’exploitation
  • Solutions recommandées pour les problèmes susceptibles de créer des conséquences immédiates

RÉSULTAT COMMERCIAL

  • Amélioration de la posture de sécurité globale de l’application en utilisant les meilleures pratiques de sécurité
  • Migration de chaque vulnérabilité avec le mappage des identifiants CVE pertinents (Common Vulnerabilities and Exposures)
Vulnérabilités Niveau de risque Facilité d’exploitation CVE
Référence directe d’objet non sécurisée (IDOR) pour afficher les informations utilisateur Critique Banal CWE-639
Accès illimité aux points de terminaison Spring Boot Actuator Haute Modéré CVE-200
Log Poisoning via l’injection d’en-tête HTTP Moyen Banal CWE-113
Fuite du jeton de réinitialisation du mot de passe via le référent Moyen Banal
En-tête ‘X-Frame Options’ manquant (Clickjacking) Moyen Banal CVE-2016-9168

RÉSULTAT COMMERCIAL

  • Amélioration de la posture de sécurité globale de l’application en utilisant les meilleures pratiques de sécurité
  • Migration de chaque vulnérabilité avec le mappage des identifiants CVE pertinents (Common Vulnerabilities and Exposures)
Vulnérabilités Niveau de risque Facilité d’exploitation CVE
Référence directe d’objet non sécurisée (IDOR) pour afficher les informations utilisateur Critique Banal CWE-639
Accès illimité aux points de terminaison Spring Boot Actuator Haute Modéré CVE-200
Log Poisoning via l’injection d’en-tête HTTP Moyen Banal CWE-113
Fuite du jeton de réinitialisation du mot de passe via le référent Moyen Banal
En-tête ‘X-Frame Options’ manquant (Clickjacking) Moyen Banal CVE-2016-9168

AVEC SECURITY PENTEST, RÉPONDEZ À TOUTES LES LACUNES DE SÉCURITÉ DANS VOTRE
APPLICATION ET AMÉLIOREZ VOTRE POSTURE DE SÉCURITÉ DE FAÇON GLOBALE.