Pentest web · Recherche de vulnérabilités

Pentest web pour éditeurs SaaS — par un chercheur de CVE.

10 vulnérabilités publiées dont 5 HIGH. J'audite vos applications web avant que vos clients enterprise ne l'exigent. Démarrage sous 10 jours, pas 8 semaines.

Discuter 20 min Voir mes 10 CVE publiées

10 CVE publiéesCPTS · eWPT · eCPPT · CBBHDémarrage J+10NDA · RC pro

github.com/flightphp/core/security/advisories

Dernières CVE publiées

HIGH

CVE-2026-42550

CWE-89 · SQL Injection via identifiants non validés dans SimplePdo

8.8

HIGH

CVE-2025-48091

CWE-89 · SQL Injection authentifiée dans le plugin WordPress AnyComment

8.5

HIGH

CVE-2026-42551

CWE-436 · HTTP method override par défaut : CSRF escalation et bypass de middleware

7.5

HIGH

CVE-2026-42552

CWE-209 · Divulgation d'informations sensibles via le handler d'erreur par défaut

7.5

Voir le portfolio complet

Vérifiable. Chaque CVE renvoie au GitHub Security Advisory et au CVE Record officiel.

CVE-2026-42550 CVE-2025-48091 CVE-2026-42551 CVE-2026-42552 CVE-2026-42548 CVE-2025-13835 CVE-2025-54746 CVE-2026-42549 CVE-2025-45525 CVE-2025-45526

Pourquoi maintenant

En 2026, l'audit n'est plus un coût. C'est une condition de signature.

NIS2 transposée, DORA en vigueur pour le secteur financier, exigences DPA des clients enterprise. Le pentest annuel n'est plus un luxe — c'est ce qui débloque vos prochains contrats.

NIS2

Si vous fournissez des services numériques en B2B, vos clients vont vous demander vos preuves d'audit. Préparez-les en amont.

DORA

Tests d'intrusion réguliers obligatoires pour les acteurs financiers et leurs prestataires critiques. Rapports auditables.

DPA enterprise

Vos clients grand-compte exigent désormais une attestation de pentest annuel dans leurs DPA. Sans, pas de signature.

Prestations

Sécurité offensive en cœur de métier — création web et formation en complément.

Cœur de métier

Pentest web

Audit OWASP + business logic, par un chercheur de CVE. Rapport actionnable, re-tests inclus.

Découvrir

Cœur de métier

Recherche de vulnérabilités

Audit de code en profondeur, recherche de 0-day, divulgation responsable et publication CVE.

Découvrir

Pentest infrastructure

Réseau, Active Directory, cloud (AWS/Azure/GCP). Méthodologie OSSTMM, PTES, NIST SP 800-115.

Découvrir

Formation cybersécurité

Sensibilisation devs, OWASP Top 10 en pratique, ateliers d'exploitation, écoles & entreprises.

Découvrir

Création de site web

Vitrine, e-commerce, SaaS. Performance, SEO technique, sécurité by design.

Découvrir

Développement logiciel

API, outils métier, intégrations. Tests, sécurité, code propre.

Découvrir

Process

Du premier contact au rapport, en 4 semaines

Pas de zone grise. Vous savez ce qui arrive, quand, et ce que vous recevez.

J+0

Premier contact

Brief 20 min, identification du périmètre, NDA mutuel envoyé.

J+3

Cadrage signé

Devis, scope précis, fenêtres de test, comptes de test fournis.

J+10

Kickoff

Démarrage des tests. Communication continue avec votre équipe tech.

J+24

Tests terminés

Reproduction des findings, validation des PoC, rédaction.

J+28

Rapport livré

Rapport exécutif + technique + matrice CVSS. Atelier de restitution.

J+60

Re-tests inclus

Validation des correctifs, rapport final de remédiation.

Tarifs pentest web

Fourchettes transparentes

Tous les forfaits incluent NDA mutuel, rapport exécutif + technique, matrice CVSS, atelier de restitution et re-tests. Pas de coût caché.

Focus

Application web simple, 1 rôle utilisateur

2 400 – 3 000 €

4-5 jours

OWASP Top 10 complet
Authentification & sessions
Rapport exécutif + technique
Re-tests inclus 30 jours

Discuter 20 min

Le plus demandé

Standard

App + auth + business logic, multi-rôles

4 200 – 5 400 €

7-9 jours

OWASP Top 10 + business logic
Tests d'autorisation multi-rôles
JWT, sessions, fédération d'identité
Rapport + atelier de restitution
Re-tests inclus 30 jours

Discuter 20 min

Étendu

App + API + chaînes d'exploitation

6 000 – 8 400 €

10-14 jours

Périmètre app web + API REST/GraphQL
Recherche de chaînes d'exploitation
Tests d'autorisation profonds
Rapport + atelier + accompagnement
Re-tests inclus 60 jours

Discuter 20 min

Pas sûr du tarif pour votre application ?

Simulateur en 10 questions. Estimation immédiate, sans email demandé.

Estimer mon tarif

NDA mutuel inclus RC pro Démarrage J+10

Témoignages clients

Réactif, rapide et pro. Je recommande très fortement. Top du top !

Roland • Migration Joomla

Lucas est très réactif et très professionnel, il formule bien les demandes et met de la rigueur dans son travail, je recommande.

Redha • Création outil de suivi

Super, je recommande vivement, merci Lucas. Ajout d'un nouveau produit sur un site e-commerce.

Rose • E-commerce

Contact

Parlons de votre besoin

Brief en 20 minutes. Je vous renvoie un cadrage écrit sous 48h ouvrées avec fourchette de tarif et planning de démarrage.

contact@rootingstudio.fr

France · Remote · Présentiel sur Paris/Lyon possible

Réponse sous 24h ouvrées · Cadrage sous 48h

NDA mutuel signé avant tout échange technique

RC pro · Tests jamais sur prod sans accord écrit

Périmètre cadré, scope creep limité à ±20%

Brief rapide

Une minute pour lancer l'échange.

Cookies analytiques pour mesurer l'audience. Aucun tracking publicitaire.