Cyber2024

ScanForge

Outil d'audit automatisé combinant scan de vulnérabilités, analyse de configuration, vérification de conformité et génération de rapports détaillés.

Client

Cabinet de conseil en cybersécurité

Stack

PythonNmapOpenVASReactDocker

Fonctionnalités

Scan auto

Conformité

Rapports PDF

Scoring risque

Infos

CatégorieCyber

Année2024

Écrans5

Technologies5

Maquettes

5 écrans

ℹ

Les noms de domaine affichés sont purement illustratifs. Par souci de confidentialité, les vrais domaines des projets ne peuvent être divulgués.

01Dashboard

desktop

scanforge.io/dashboard

Security Dashboard

SCORE DE RISQUE

72/100

Moyen

CRITIQUES

↓ 2 ce mois

HAUTES

↑ 3 ce mois

MOYENNES

stable

BASSES

↓ 5 ce mois

Tendance vulnérabilités — 6 mois

Sep

Oct

Nov

Dec

Jan

Fev

■ Critique■ Haute■ Moyenne■ Basse

Scans actifs

api.production.comDAST

78%ETA: 12 min

192.168.1.0/24Network

45%ETA: 28 min

app-frontendSAST

92%ETA: 3 min

Vulnérabilités récentes

Voir toutes →

SEV.CVEVULNÉRABILITÉASSETCVSSDÉCOUVERTESTATUT

CRITCVE-2025-1234RCE via deserializationapi-prod9.807/02Ouvert

HIGHCVE-2025-0891SQL Injection in searchweb-app8.106/02En cours

HIGHCVE-2024-9812Broken Authenticationauth-svc7.505/02En cours

MEDCVE-2025-0456XSS Stored in commentsweb-app6.104/02Résolu

LOWCVE-2024-8901Information Disclosureapi-prod3.703/02Accepté

OWASP Top 10

82%

7/10 conformes

PCI-DSS

91%

Conforme

RGPD

88%

2 points à corriger

02Résultats scan

desktop

scanforge.io/scans/SCN-2025-0892

Résultats du scan

DAST Scan — api.production.com

Scan ID: SCN-2025-0892 • Lancé le 07/02/2025 à 14:00

TERMINÉ

Durée

42 min

Endpoints testés

247

Requêtes

12,480

Vulnérabilités

Critiques

Score

CRITICALCVSS 9.8

Remote Code Execution via Deserialization

POST /api/v2/import

Le endpoint d'import accepte des objets sérialisés Java sans validation. Un attaquant peut exécuter du code arbitraire.

REMÉDIATION

Désactiver la désérialisation d'objets non fiables. Utiliser une whitelist de classes.

HIGHCVSS 8.1

SQL Injection in Search Parameter

GET /api/v2/search?q=

Le paramètre 'q' est injecté directement dans une requête SQL sans paramétrage.

REMÉDIATION

Utiliser des requêtes préparées (prepared statements) pour tous les paramètres.

HIGHCVSS 7.5

Broken Access Control on Admin Endpoints

GET /api/v2/admin/*

Les endpoints admin sont accessibles sans vérification de rôle appropriée.

REMÉDIATION

Implémenter une vérification RBAC côté serveur pour tous les endpoints admin.

MEDIUMCVSS 5.3

Missing Rate Limiting

POST /api/v2/auth/login

Aucune limitation de tentatives de connexion, permettant des attaques brute-force.

REMÉDIATION

Implémenter un rate limiting progressif (ex: 5 tentatives / 15 min).

CONFIGURATION DU SCAN

TypeDAST (Dynamic)

ProfilOWASP Top 10 + Custom

AuthentificationBearer Token (OAuth2)

Scope/api/v2/* (247 endpoints)

Concurrence10 threads

Exclusions/health, /metrics

03Vulnérabilités

desktop

scanforge.io/vulnerabilities

Vulnérabilités (47)

Sévérité ▾Statut ▾Asset ▾

5Critiques

12Hautes

18Moyennes

12Basses

Ouvertes: 28 • En cours: 11 • Résolues: 8

SEV.CVEVULNÉRABILITÉASSETCVSSDÉCOUVERTESTATUTASSIGNÉSLA

CRITCVE-2025-1234RCE Deserializationapi-prod9.807/02OuvertMarc D.24h

CRITCVE-2025-1189Auth Bypass JWTauth-svc9.106/02En coursAlice M.12h rest.

CRITCVE-2025-0998SSRF to Internalapi-prod9.005/02En coursMarc D.48h rest.

HIGHCVE-2025-0891SQL Injection searchweb-app8.106/02En coursLéa C.3j rest.

HIGHCVE-2024-9812Broken Access Controlauth-svc7.505/02Ouvert—5j rest.

HIGHCVE-2025-0567Path Traversalfile-svc7.304/02RésoluThomas L.Résolu

MEDCVE-2025-0456XSS Stored commentsweb-app6.104/02RésoluAlice M.Résolu

MEDCVE-2025-0423Missing Rate Limitauth-svc5.303/02Ouvert—7j rest.

MEDCVE-2024-8812CORS Misconfigurationapi-prod5.002/02Ouvert—10j rest.

LOWCVE-2024-8901Info Disclosure headersapi-prod3.703/02Accepté——

04Assets

desktop

scanforge.io/assets

Assets (18)

TousApplicationsAPIsRéseauCloud

ASSETTYPEENVIRONNEMENTRISQUEVULNSDERNIER SCANPROCHAIN SCANRESPONSABLE

api.production.comAPIProductionÉlevé807/02 14:4214/02Marc Dupont

web-app.company.comWeb AppProductionÉlevé606/02 10:0013/02Alice Martin

auth-serviceAPIProductionCritique505/02 08:3012/02Léa Chen

file-serviceAPIProductionMoyen304/02 16:0011/02Thomas Laurent

192.168.1.0/24RéseauInterneMoyen407/02 11:0021/02Pierre Moreau

staging.company.comWeb AppStagingBas203/02 09:0017/02Alice Martin

db-cluster-prodCloudAWS eu-west-1Moyen301/02 06:0015/02Marc Dupont

k8s-prod-clusterCloudAWS eu-west-1Bas131/01 12:0014/02Pierre Moreau

cdn.company.comRéseauProductionBas028/01 10:0025/02Thomas Laurent

api.production.com

API REST • Production • 247 endpoints découverts

Scans effectués

Vulns ouvertes

Score de risque

72/100

Couverture

94%

05Rapport

desktop

scanforge.io/reports/feb-2025

Rapport de sécurité — Février 2025

RÉSUMÉ EXÉCUTIF

Score global

72/100 — Moyen

Vulnérabilités

5 critiques, 12 hautes

Assets surveillés

9 en production

Conformité

87%

OWASP + PCI-DSS

Le niveau de risque global reste moyen avec une tendance à la baisse. Les 5 vulnérabilités critiques identifiées nécessitent une attention immédiate. La couverture de scan a atteint 94% des assets en production. Les efforts de remédiation ont permis de résoudre 8 vulnérabilités ce mois-ci.

Évolution du risque — 6 mois

Sep

Oct

Nov

Dec

Jan

Fev

Temps moyen de remédiation (MTTR)

Critiques2.4 jourscible: 1 jour⚠

Hautes5.2 jourscible: 7 jours✓

Moyennes12 jourscible: 30 jours✓

Basses—cible: 90 jours✓

TOP 5 RISQUES

Remote Code Execution — api-prod

Compromise totale du serveur

CVSS 9.8Marc D.08/02

Authentication Bypass — auth-svc

Accès non autorisé aux données

CVSS 9.1Alice M.09/02

SSRF to Internal Network — api-prod

Pivot vers le réseau interne

CVSS 9Marc D.10/02

SQL Injection — web-app

Exfiltration de données

CVSS 8.1Léa C.12/02

Broken Access Control — auth-svc

Élévation de privilèges

CVSS 7.5Non assigné14/02

RECOMMANDATIONS PRIORITAIRES

Corriger la vulnérabilité RCE sur api-prod en désactivant la désérialisation non sécurisée

Immédiat

Implémenter une vérification JWT robuste sur auth-service avec validation des algorithmes

48h

Migrer toutes les requêtes SQL vers des prepared statements sur web-app

1 semaine

Mettre en place un WAF (Web Application Firewall) en amont des services exposés

2 semaines

Implémenter le rate limiting sur tous les endpoints d'authentification

1 mois

Projet suivantNetProbe

ATCHAHOUE

DESTIN

ScanForge

Client

Stack

Fonctionnalités

Infos

Security Dashboard

Résultats du scan

Remote Code Execution via Deserialization

SQL Injection in Search Parameter

Broken Access Control on Admin Endpoints

Missing Rate Limiting

Vulnérabilités (47)

Assets (18)

Rapport de sécurité — Février 2025