Développeurs, comment améliorer vos pen-tests ?

Vous êtes Lead Dev ou CTO d'une startup. Votre CEO ou vos investisseurs souhaiteraient être rassurés sur la sécurité de l'application que vous avez durement développé ces derniers mois.

Vous vous dites que vous allez mettre en place des tests de pénétration. C'est une bonne chose. Peut être l'externaliser ?

Par où commencer ?

Vous êtes sous mac ? Commencez par passer totalement sous linux. Vous aurez tous les outils à disposition sans vous embêter avec d'éventuels problèmes de compilation. Sinon utilisez une VM. La distribution la plus connue est Kali. Elle rassemble beaucoup d'outils spécialisés dans les tests de pénétration.

Vous programmez déjà avec Python ? Si ce n'est pas le cas, pensez sérieusement à vous y mettre. Python est historiquement le langage de programmation utilisé par les hackers. Différentes raisons à cela. La partie CPython permet d'utiliser "facilement" des lib. bas niveau écrites en C.

(Ré-)apprenez la théorie et la base: TCP/IP, assembleur, NMAP, les failles des applications web (injection SQL, XSS, etc.). Plusieurs éléments peuvent vous aider: The Web Application Hacker’s Handbook. OWASP’s Testing Guide

Participez à des CTF (Capture the Flag) afin d'améliorer vos compétences. Ce lien est un bon début CFTtime.

Mais surtout n'oubliez pas que la principale faille c'est l'humain !

Mettez vous au développement frontend. Ceci vous permettra de sensibiliser vos collaborateurs aux attaques par phishing.

Des outils comme Recon-ng permettront d'identifier les informations que vos systèmes apportent à l'extérieur.