Pentest PHP

Un audit PHP mené par quelqu'un qui connaît PHP.

Test d'intrusion ciblé de vos applications PHP : injection SQL, désérialisation, LFI/RFI et upload de fichiers. Un seul expert, du cadrage à l'attestation.

  • 10+ ans d'expérience
  • Spécifique PHP
  • Prix fixe au cadrage

PHP

PHP pardonne peu. Le test doit être précis.

Un == au lieu de ===, un unserialize sur une entrée, un include dynamique, une clé APP_KEY exposée en debug : les failles PHP sont concrètes et bien documentées. Je les cherche là où elles vivent, pas dans un rapport générique.

Laravel · Symfony · WordPress API & legacy PHP 5.x → 8.x

Ce que couvre l'audit PHP.

Les classes de failles les plus fréquentes sur une application PHP réelle, testées à la main sur votre code et vos endpoints. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.

Injection SQLrequêtes concaténées, PDO mal employé, ORM contourné
Désérialisation & type jugglingunserialize, chaînes POP, comparaisons == permissives
LFI / RFI & traverséeinclude dynamique, path traversal, wrappers php://
Upload de fichiersextension/content-type contournés, exécution de .php
Exécution de commandesystem, exec, eval, preg_replace dangereux
Framework & configLaravel APP_KEY / debug, Symfony, plugins WordPress

Quatre étapes. Prix et périmètre fixes.

De la prise de contact à l'attestation, votre audit PHP suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste. Prix fixe défini au cadrage.

Cadrage

Un court appel, un prix fixe, des règles d'engagement écrites. La stack et le périmètre sont notés ici.

~ 1 appel

Test

Test manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.

5–10 jours

Rapport

Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.

2–3 jours

Contre-test

Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.

gratuit · 30 j

Quand ce test devient urgent.

Un pentest n'attend pas l'incident. Voici les déclencheurs les plus fréquents chez les équipes PHP qui me contactent.

  • Un client grand compte exige une preuve de test avant de signer
  • Une revue SOC 2 / ISO 27001 réclame un pentest annuel
  • Une levée de fonds et sa due diligence technique approchent
  • Une migration de version PHP ou un changement de framework approche
  • Un site WordPress à fort trafic avec plugins et paiements en jeu
  • Un doute sur un upload, une désérialisation ou une logique d'auth

Ce qu'on me demande avant de signer.

Les vraies questions d'un premier appel de cadrage sur une application PHP. Si la vôtre manque, elle a sa réponse en un e-mail.

Laravel, Symfony ou WordPress ?

Les trois, plus le PHP « legacy » sans framework. Le périmètre s'adapte à votre stack réelle.

Testez-vous les plugins WordPress ?

Oui. Plugins et thèmes sont souvent le maillon faible ; je teste aussi la chaîne d'extensions et leurs permissions.

Faut-il le code source ?

Utile, pas obligatoire. La boîte grise accélère la détection de désérialisation et d'injections.

Et une base de code PHP ancienne ?

Oui, je teste le legacy 5.x sans exiger une migration préalable. Les vieilles bases concentrent souvent les failles.

Comment fixez-vous le prix ?

Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.

Que se passe-t-il une fois les correctifs faits ?

Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour, prête pour vos clients.

Qui mène votre test.

Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.

Saïd, expert en pentest et audit de sécurité

Saïd Mimouni

Pentest & audit de sécurité · applications web & API

Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.

Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.

10+ ans d'expérience Basé à Paris, France LinkedIn

Une app PHP à mettre à l'épreuve ?

Dites-moi la stack, le périmètre et à peu près quand vous en avez besoin. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même.

Réserver un cadrage Contact