Rapport de pentest — Scénario externe (black-box)
Ce rapport présente les résultats de la campagne de test d'intrusion menée en boîte noire sur la plateforme SuperSOC, depuis la position d'un attaquant disposant d'un accès réseau (VPN) mais d'aucun identifiant.
1. Résumé exécutif
La campagne a évalué la surface d'attaque exposée par le Docker-Host (10.0.20.10) et la robustesse des mécanismes de sécurité applicative de l'API SOAR.
Constat général : la posture de sécurité est solide. Les mécanismes critiques (authentification, contrôle d'accès, anti-bruteforce, isolation réseau) fonctionnent comme attendu. Les vulnérabilités identifiées sont de criticité faible à moyenne et relèvent toutes de la configuration (durcissement), non de failles exploitables permettant une compromission.
| Indicateur | Résultat |
|---|---|
| Vulnérabilités critiques | 0 |
| Vulnérabilités élevées | 0 |
| Vulnérabilités moyennes | 2 |
| Vulnérabilités faibles | 3 |
| Contrôles validés (points forts) | 5 |
2. Périmètre & méthodologie
- Cible : Docker-Host
10.0.20.10(front Vue.js, API SOAR FastAPI, Wazuh). - Position : réseau interne via VPN, sans identifiant (black-box).
- Méthodologie : PTES (reconnaissance → énumération → tests) + OWASP Top 10 / WSTG.
- Date : 01/07/2026.
Outils utilisés : nmap, curl, gobuster, nikto, sqlmap.
3. Cartographie de la surface d'attaque
Le scan de ports a révélé que seul 10.0.20.10 expose des services ; les 254 autres adresses du VLAN sont filtrées par pfSense.
| Port | Service | Version | Exposition |
|---|---|---|---|
| 80 | nginx (front Vue) | 1.31.2 | HTTP en clair |
| 443 | Wazuh Dashboard | — | HTTPS, 401 sans auth |
| 8000 | API SOAR | Uvicorn/FastAPI | HTTP |
| 8080 | nginx (front, doublon) | 1.31.2 | HTTP |
| 55000 | API Wazuh | aiohttp 3.8.1 | HTTPS, 401 sans auth |
4. Synthèse des findings
| ID | Vulnérabilité | Criticité | CVSS |
|---|---|---|---|
| VULN-01 | Documentation API exposée (/docs, /openapi.json) | Moyenne | 5.3 |
| VULN-02 | En-têtes de sécurité HTTP absents | Moyenne | 4.3 |
| VULN-03 | Front servi en HTTP clair (pas de redirection HTTPS) | Faible | 3.7 |
| VULN-04 | Version du serveur exposée (nginx/1.31.2) | Faible | 3.1 |
| VULN-05 | CORS permissif (allow_methods/headers=["*"]) | Faible | 3.1 |
5. Points forts validés (contrôles efficaces)
Ces résultats « négatifs » sont des preuves que les défenses fonctionnent :
- Contrôle d'accès (A01) : 10/10 endpoints sensibles renvoient
401sans token, y compris les actions offensives (block-ip,playbooks/run). - Anti-bruteforce (A07) : verrouillage du compte (
HTTP 423) après 5 tentatives échouées. - Injection (A03) : aucune injection SQL/NoSQL exploitable sur le login (sqlmap négatif) ; validation Pydantic + requêtes paramétrées.
- Segmentation réseau : pfSense filtre 254/255 adresses du VLAN ; bases MariaDB/MongoDB non exposées.
- Énumération d'utilisateurs : message d'erreur de login générique (pas de distinction user inexistant / mauvais mot de passe).
Le détail de chaque finding est présenté dans les pages suivantes.