Pentest em Aplicação Web

Pentest em aplicação Web e seus objetivos

O pentest em aplicação Web envolve uma série de etapas metodológicas destinadas a reunir informações sobre o sistema alvo, encontrar vulnerabilidades ou falhas neles, pesquisar exploits que terão sucesso contra essas falhas ou vulnerabilidades e comprometer o aplicação Web.

Devido à enorme expansão de aplicações web, mais e mais recursos da Internet estão sendo gastos no desenvolvimento do software, bem como na configuração dos aplicativos para funcionarem adequadamente neste novo cenário.

Essa nova fronteira, entretanto, abriu outro vetor de ataque que hackers mal-intencionados podem usar para seus ganhos pessoais.

Considerando que algumas aplicações web armazenam dados confidenciais, é importante mantê-los protegidos o tempo todo, especialmente porque muitas dessas aplicações ficam expostas publicamente na Internet.

A Infosec Security utiliza o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados em aplicação web. A Infosec Security utiliza ferramentas licenciadas para a realização de alguns testes, o que possibilita uma cobertura ampla da aplicação web que está sendo testada.

O Pentest Web realizado pela Infosec Security garante uma cobertura completa do OWASP Top 10

  • A1:2017-Injection
  • A2:2017-Broken Authentication
  • A3:2017-Sensitive Data Exposure
  • A4:2017-XML External Entities (XXE)
  • A5:2017-Broken Access Control
  • A6:2017-Security Misconfiguration
  • A7:2017-Cross-Site Scripting (XSS)
  • A8:2017-Insecure Deserialization
  • A9:2017-Using Components with Known Vulnerabilities
  • A10:2017-Insufficient Logging&Monitoring
Pentest Black Box

Pentest realizado com abordagem automatizada e manual, onde os resultados são validados para reduzir a presença de falso positivo.

Pentest White Box

Testes realizados com abordagem manual e abordagem automatizada do código-fonte da base de código da aplicação web, para determinar a origem dos problemas que podem resultar em exploração.

Pentest Gray Box

Pentest utilizando abordagem automatizada e abordagem manual de forma autenticado para obter acesso ao funcionamento interno da aplicação web e com isso, encontrar vulnerabilidades que somente um usuário autenticado teria acesso.

Pentest Híbrido (White / Gray)

Resultados do Pentest White Box sendo alimentados em um Pentest Gray Box para reduzir o tempo de mapeamento da aplicação web e fornecer uma lista de problemas a serem priorizados.

Pentest em Web Service & API

O acesso aos serviços da API é baseado na criação de cenários de ataque nos endpoints fornecidos. Isso inclui testes autenticados e não autenticados de forma automatizada e manual.

Para o Pentest em Aplicação Web, a Infosec Security pode analisar qualquer tipo de aplicação web, independente da linguagem de programação utilizada no desenvolvimento.

Solicite orçamento para esse serviço de Pentest através da Desec Security