Skip to main content

Rapport de pentest — Scénario externe (black-box)

Ce rapport présente les résultats de la campagne de test d'intrusion menée en boîte noire sur la plateforme SuperSOC, depuis la position d'un attaquant disposant d'un accès réseau (VPN) mais d'aucun identifiant.

1. Résumé exécutif

La campagne a évalué la surface d'attaque exposée par le Docker-Host (10.0.20.10) et la robustesse des mécanismes de sécurité applicative de l'API SOAR.

Constat général : la posture de sécurité est solide. Les mécanismes critiques (authentification, contrôle d'accès, anti-bruteforce, isolation réseau) fonctionnent comme attendu. Les vulnérabilités identifiées sont de criticité faible à moyenne et relèvent toutes de la configuration (durcissement), non de failles exploitables permettant une compromission.

IndicateurRésultat
Vulnérabilités critiques0
Vulnérabilités élevées0
Vulnérabilités moyennes2
Vulnérabilités faibles3
Contrôles validés (points forts)5

2. Périmètre & méthodologie

  • Cible : Docker-Host 10.0.20.10 (front Vue.js, API SOAR FastAPI, Wazuh).
  • Position : réseau interne via VPN, sans identifiant (black-box).
  • Méthodologie : PTES (reconnaissance → énumération → tests) + OWASP Top 10 / WSTG.
  • Date : 01/07/2026.

Outils utilisés : nmap, curl, gobuster, nikto, sqlmap.

3. Cartographie de la surface d'attaque

Le scan de ports a révélé que seul 10.0.20.10 expose des services ; les 254 autres adresses du VLAN sont filtrées par pfSense.

PortServiceVersionExposition
80nginx (front Vue)1.31.2HTTP en clair
443Wazuh DashboardHTTPS, 401 sans auth
8000API SOARUvicorn/FastAPIHTTP
8080nginx (front, doublon)1.31.2HTTP
55000API Wazuhaiohttp 3.8.1HTTPS, 401 sans auth

4. Synthèse des findings

IDVulnérabilitéCriticitéCVSS
VULN-01Documentation API exposée (/docs, /openapi.json)Moyenne5.3
VULN-02En-têtes de sécurité HTTP absentsMoyenne4.3
VULN-03Front servi en HTTP clair (pas de redirection HTTPS)Faible3.7
VULN-04Version du serveur exposée (nginx/1.31.2)Faible3.1
VULN-05CORS permissif (allow_methods/headers=["*"])Faible3.1

5. Points forts validés (contrôles efficaces)

Ces résultats « négatifs » sont des preuves que les défenses fonctionnent :

  • Contrôle d'accès (A01) : 10/10 endpoints sensibles renvoient 401 sans token, y compris les actions offensives (block-ip, playbooks/run).
  • Anti-bruteforce (A07) : verrouillage du compte (HTTP 423) après 5 tentatives échouées.
  • Injection (A03) : aucune injection SQL/NoSQL exploitable sur le login (sqlmap négatif) ; validation Pydantic + requêtes paramétrées.
  • Segmentation réseau : pfSense filtre 254/255 adresses du VLAN ; bases MariaDB/MongoDB non exposées.
  • Énumération d'utilisateurs : message d'erreur de login générique (pas de distinction user inexistant / mauvais mot de passe).

Le détail de chaque finding est présenté dans les pages suivantes.