Authentication & Access Control
- Login, SSO and MFA bypass testing
- Session management and token handling
- Tests d'escalade de privilèges et d'IDOR/BOLA
- Role and tenant isolation review
Injection & Input Handling
- SQL, NoSQL, command and template injection
- Cross-Site Scripting et SSRF
- Failles de désérialisation et de téléversement de fichiers
- Validation des entrées sur les couches Web et API
Logique métier et sécurité des données
- Workflow bypass, race conditions and abuse cases
- Mass assignment and excessive data exposure
- Fuites de données sensibles dans les réponses et les journaux
- Manipulation des transactions et des flux d’approbation
Components, Config & Standards
- Composants vulnérables et obsolètes (SCA, plus de 20 000 CVE)
- En-têtes de sécurité, CORS, CSP et vérification TLS
- Tests des points de terminaison des API et microservices
- Alignment with OWASP Top 10 and SANS Top 25