Aller au contenu principal
HDWSec
Illustration test d'intrusion Web HDW Sec

Pentest Web

Vos applications web et vos API portent une logique métier qu'un scanner automatisé ne sait pas éprouver.

Nous testons vos applications web et vos API comme le ferait un attaquant : injections, contrôle d'accès, authentification, exposition de données. Chaque faille exploitable est démontrée par une preuve concrète, puis priorisée selon son impact réel sur votre activité. Vous repartez avec un plan de remédiation clair, pas une liste brute d'alertes.

Demander un pentest web
Label France Cybersecurity Label France Cybersecurity
10+ Années d'expérience
500+ Tests réalisés
100+ Clients satisfaits
Une expertise forgée dans des environnements critiques

La surface d'attaque web

Une application web est une surface vivante, pas un périmètre figé

Chaque endpoint, chaque paramètre, chaque appel d'API et chaque rôle utilisateur élargit la surface qu'un attaquant peut sonder. Les frameworks modernes ne neutralisent pas la logique métier : un contrôle d'accès oublié, un identifiant manipulable ou un workflow contournable restent invisibles aux outils automatisés. Notre test d'intrusion s'appuie sur les référentiels OWASP Top 10, ASVS et WSTG sans s'y limiter : nous raisonnons en attaquants pour révéler les enchaînements de failles qui mènent à une compromission réelle.

Ce que nous testons

Quatre familles de failles, éprouvées manuellement

Injections et exécution côté serveur

Injections SQL et NoSQL, injection de commandes, injection de template (SSTI), SSRF et désérialisation non sécurisée. Nous cherchons les points où une entrée utilisateur atteint un interpréteur, une requête ou un appel réseau interne sans validation suffisante.

Contrôle d'accès et logique métier

IDOR/BOLA, élévation de privilèges horizontale et verticale, contournement de workflow. Nous vérifions que chaque objet et chaque action est rattaché à l'utilisateur autorisé, et non chargé par identifiant sans contrôle de propriété.

Authentification et gestion de session

Faiblesses de mots de passe, traitement des jetons JWT, flux OAuth/OIDC et SSO, MFA contournable. Nous éprouvons l'inscription, la connexion, la réinitialisation et la durée de vie des sessions pour repérer les chemins d'usurpation de compte.

API, XSS et exposition de données

API REST et GraphQL (introspection exposée, sur-exposition de champs, absence de limites de débit ou de profondeur de requête), XSS stocké, réfléchi et DOM, fuite de données sensibles et de secrets dans les réponses, le code client ou les messages d'erreur.

Questions fréquentes

Pentest web : ce qu'il faut savoir avant de démarrer

Combien de temps dure un pentest d'application web ?

La durée dépend du périmètre : nombre d'endpoints, de rôles utilisateur et de fonctionnalités sensibles. Une application de taille moyenne demande en général de cinq à dix jours de test. Nous calibrons l'effort lors du cadrage, après avoir compté les parcours et les types de comptes à couvrir.

Faut-il nous fournir des accès et du code source ?

Cela dépend de l'approche retenue. En boîte noire, nous partons sans information privilégiée. En boîte grise, l'approche la plus courante, vous fournissez des comptes de test pour chaque rôle, ce qui permet de couvrir le contrôle d'accès en profondeur. En boîte blanche, l'accès au code source affine la recherche de failles. Nous recommandons en général la boîte grise pour le meilleur rapport couverture/durée.

En quoi est-ce différent d'un scan automatisé de vulnérabilités ?

Un scanner détecte des motifs connus : versions obsolètes, en-têtes manquants, signatures de vulnérabilités publiées. Il ne comprend ni votre logique métier ni vos règles d'autorisation, et ne sait pas enchaîner plusieurs failles mineures en une compromission. Nous utilisons l'outillage pour la couverture, puis l'exploitation manuelle pour les IDOR, les contournements de workflow et les escalades de privilèges qu'aucun scanner ne trouve.

Autres domaines

Explorez nos autres tests d'intrusion

Pentest Mobile

Trouvez les failles de votre application iOS et Android avant qu'un attaquant ne les exploite.

Pentest IoT

Avant la mise sur le marché, sachez ce qu'un attaquant peut faire de votre objet connecté.

Pentest Cloud

Un rôle IAM trop permissif ou un bucket ouvert suffit à compromettre tout votre cloud.

Pentest LLM

Vos applications LLM ouvrent une surface d'attaque que vos tests classiques ne couvrent pas.

 Vue d'ensemble du pentest

Votre application résisterait-elle à un attaquant ?

Décrivez-nous votre périmètre web et nous vous adressons un devis chiffré sous 48h.

Demander un pentest web