Aller au contenu principal
Rooting/studio
Pentest web · OWASP + Business logic

Pentest web pour éditeurs SaaS — par un chercheur de CVE.

J'audite vos applications web avant que vos clients enterprise ne l'exigent. 10 CVE publiées dont 5 HIGH. Démarrage sous 10 jours, pas 8 semaines comme en cabinet. Tarifs transparents à partir de 2 400 €.

Estimer mon tarif Discuter 20 min
10 CVE publiées Démarrage J+10 NDA mutuel · RC pro Conforme NIS2 / DORA
Le constat

Les scanners trouvent 30%. Les vraies failles sont ailleurs.

Les outils automatiques détectent les vulnérabilités les plus connues. Mais 70% des failles exploitables en production sont des problèmes de logique métier, des chaînes d'exploitation, des bypass d'autorisation — invisibles aux scanners.

C'est exactement ce que je cherche : ce que vos pipelines CI ne vous diront pas, ce que votre équipe interne ne voit plus parce qu'elle est trop proche du code.

Périmètre technique

Ce que je teste

OWASP Top 10 systématique, plus toutes les classes de vulnérabilités courantes en SaaS B2B.

Injection SQL, NoSQL, OS command
Authentification, sessions, JWT, OAuth
Broken access control & IDOR
Cross-Site Scripting (Reflected, Stored, DOM)
CSRF & method override
SSRF & request smuggling
Désérialisation insecure
Race conditions & TOCTOU
Business logic flaws
API REST / GraphQL
Upload de fichiers, path traversal
Information disclosure & verbose errors
Méthodologie

4 phases, zéro flou

Cadrage & règles d'engagement

Périmètre précis, comptes de test, contraintes de prod, fenêtres de test. NDA mutuel signé.

Tests offensifs

OWASP Top 10, business logic, auth & session, IDOR, JWT, SSRF, désérialisation, race conditions.

Rapport actionnable

Rapport exécutif (décideurs) + rapport technique détaillé (devs) + matrice CVSS priorisée.

Re-tests inclus

Validation des correctifs sous 30 jours. Rapport final de remédiation pour vos audits.

Calendrier type

Du premier contact au rapport en 4 semaines

Vous savez ce qui arrive, quand, et ce que vous recevez. Pas de zone grise.

1
J+0
Premier contact
Brief 20 min, NDA mutuel envoyé.
2
J+3
Cadrage signé
Devis, scope précis, fenêtres, comptes.
3
J+10
Kickoff & tests
Démarrage, communication continue.
4
J+24
Tests terminés
PoC reproductibles, validation.
5
J+28
Rapport livré
Exécutif + technique + atelier.
6
J+60
Re-tests
Validation des correctifs.
Tarifs

Fourchettes transparentes

Tout est inclus : NDA, rapport exécutif + technique, matrice CVSS, atelier, re-tests. Pas de coût caché.

Focus

Application web simple, 1 rôle utilisateur.

2 400 – 3 000 €
4-5 jours
  • OWASP Top 10 complet
  • Authentification & sessions
  • Rapport exécutif + technique
  • Re-tests inclus 30 jours
Discuter 20 min
Le plus demandé

Standard

App + auth + business logic, multi-rôles.

4 200 – 5 400 €
7-9 jours
  • OWASP Top 10 + business logic
  • Tests d'autorisation multi-rôles
  • JWT, sessions, fédération d'identité
  • Rapport + atelier de restitution
  • Re-tests inclus 30 jours
Discuter 20 min

Étendu

App + API + chaînes d'exploitation.

6 000 – 8 400 €
10-14 jours
  • Périmètre app web + API REST/GraphQL
  • Recherche de chaînes d'exploitation
  • Tests d'autorisation profonds
  • Rapport + atelier + accompagnement
  • Re-tests inclus 60 jours
Discuter 20 min
Simulateur

Estimez votre tarif en 6 questions

Réponses anonymes, aucun email demandé. Vous obtenez une fourchette indicative calculée à partir d'un TJM de 600 €. Le devis détaillé sera affiné après un échange de 20 min.

60 secondes pour avoir une fourchette
Pas d'email obligatoire
Logique transparente, basée sur la durée
Étape 1 / 10

Type d'application

Le contexte global oriente toute la suite.

Preuve technique

Voici ce que je trouve, en pratique

Mes 3 CVE les plus sévères publiées récemment sur flightphp/core (framework PHP).

Voir les 10 CVE
HIGH · 8.8CWE-89
CVE-2026-42550
SQL Injection via identifiants non validés dans SimplePdo
Privilege escalation par injection SQL via les clés du tableau $data passées à SimplePdo::insert/update/delete.
HIGH · 8.5CWE-89
CVE-2025-48091
SQL Injection authentifiée dans le plugin WordPress AnyComment
Injection SQL exploitable par tout utilisateur authentifié dans le plugin WordPress AnyComment, exécutant des commandes SQL arbitraires.
HIGH · 7.5CWE-436
CVE-2026-42551
HTTP method override par défaut : CSRF escalation et bypass de middleware
Une requête GET peut être silencieusement promue en DELETE/PUT via X-HTTP-Method-Override ou ?_method, contournant la SOP.
Sécurité contractuelle

Ce qui est blindé côté contrat

NDA mutuel

Signé avant tout échange technique sensible. Modèle standard ou le vôtre, peu importe.

RC professionnelle

Couverture spécifique pour les missions de pentest et de recherche en sécurité informatique.

Tests jamais sur prod sans accord écrit

Tests sur staging par défaut. Si la prod est nécessaire, fenêtre de test cadrée et actions destructives explicitement exclues.

Scope creep limité à ±20%

Le forfait absorbe les variations mineures. Au-delà, avenant clair signé. Pas de surprise sur la facture.

Attestation de pentest

Attestation officielle utilisable pour vos clients enterprise, partenaires bancaires (PCI-DSS), ou autorité de régulation.

Re-tests inclus

30 jours après remise du rapport (60 jours sur Étendu). Vous corrigez, je revalide, rapport final attestant des correctifs.
Questions fréquentes

FAQ

À qui s'adresse votre pentest ?

Principalement aux éditeurs SaaS B2B et startups série A/B qui doivent fournir une attestation de pentest annuel à leurs clients enterprise, ou se conformer à NIS2 / DORA. Toutes les missions sont menées en direct, par moi.

En combien de temps démarrez-vous ?

Le kickoff a lieu sous 10 jours après signature du devis (vs 6-8 semaines en cabinet). C'est l'un des principaux avantages de travailler avec un freelance senior plutôt qu'un cabinet.

Boîte noire, grise, ou blanche ?

La boîte grise (avec comptes de test) est recommandée par défaut : elle reproduit le scénario d'attaque le plus réaliste (compte utilisateur compromis ou créé par l'attaquant) et trouve plus de vulnérabilités. La boîte noire convient pour la pré-prod ou un audit externe pur. La boîte blanche (accès code) est idéale pour des audits profonds.

Et la production ? Risque-t-elle d'être impactée ?

Par défaut nous testons sur staging / pré-prod. Si la prod est nécessaire, nous cadrons une fenêtre de test, excluons les actions destructives (DELETE en masse, etc.) et validons chaque action sensible avec votre équipe.

Avez-vous une assurance RC pro ?

Oui, RC professionnelle souscrite couvrant les missions de pentest et de recherche en sécurité informatique.

Comment se passent les re-tests ?

Inclus 30 jours après remise du rapport (60 jours pour le forfait Étendu). Vous corrigez, vous me notifiez, je revalide chaque finding et produis un rapport final attestant des correctifs. Aucun coût additionnel.

Que se passe-t-il si le périmètre change en cours de mission ?

Le forfait absorbe ±20% de variation de périmètre. Au-delà, on signe un avenant clair. Pas de surprise sur la facture.

Fournissez-vous une attestation de pentest ?

Oui, attestation officielle à fournir à vos clients enterprise, partenaires bancaires (PCI-DSS), ou autorité de régulation.

Votre prochain audit, démarré sous 10 jours

Brief en 20 minutes, cadrage écrit sous 48h. Aucun engagement à ce stade.

Discuter 20 min Estimer mon tarif