Pentest Web e seus objetivos
O Pentest Web é, como o nome sugere, um teste de invasão que se concentra exclusivamente em uma aplicação Web em vez de uma rede ou organização. O conceito e os objetivos subjacentes para descobrir possíveis vulnerabilidades na segurança e fortalecer os mecanismos de defesa são os mesmos.
Na verdade, muitas das mesmas ferramentas e vetores de ataque são aproveitados durante o engajamento. A principal diferença é encontrada na metodologia que os testadores de pentest web usam para rastrear ou mapear uma funcionalidade de uma aplicação web e, em seguida, testar os pontos de entrada (geralmente campos de entrada fornecidos pelo usuário).
Ferramentas automatizadas são absolutamente necessárias para este tipo de avaliação, no entanto, um entendimento detalhado da interação cliente / servidor baseada na web é necessária para usar adequadamente a maioria das ferramentas disponíveis.
A Infosec Security juntamente com a Desec Security utilizam o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados em aplicação web. A Infosec Security utiliza ferramentas licenciadas para a realização de alguns testes, o que possibilita uma cobertura ampla da aplicação web que está sendo testada.
O Pentest Web realizado em aplicações Web realizado pela Infosec Security garante uma cobertura completa do OWASP Top 10
- A1:2017-Injection
- A2:2017-Broken Authentication
- A3:2017-Sensitive Data Exposure
- A4:2017-XML External Entities (XXE)
- A5:2017-Broken Access Control
- A6:2017-Security Misconfiguration
- A7:2017-Cross-Site Scripting (XSS)
- A8:2017-Insecure Deserialization
- A9:2017-Using Components with Known Vulnerabilities
- A10:2017-Insufficient Logging&Monitoring
As aplicações Web são sempre uma parte particularmente vulnerável dos sistemas de informação, devido ao seu nível de exposição a ataques e à falta de consciência das equipas de desenvolvimento observada em muitas empresas.
O objetivo de um pentest Web é avaliar a robustez de sua plataforma Web: servidores, aplicativos de front / back office, serviços da Web e APIs.
O resultado é um relatório operacional que permite aos desenvolvedores corrigir as falhas de segurança identificadas. Para editores de software que desejam fornecer produtos aos seus clientes ou parceiros, a Infosec Security pode produzir um segundo relatório certificando que as falhas de segurança foram corrigidas.
O escopo do pentest Web deve ser definido de acordo com o objetivo desejado:
- O que deve ser incluído no pentest e o que deve ser excluído do pentest? (Aplicativo da Web, APIs, serviços de terceiros, site de demonstração, etc.)
- Qual é o nível de detalhe necessário: pesquisar as chamadas vulnerabilidades principais ou pesquisar todas as vulnerabilidades?
- Qual é o nível de risco a ser testado: teste apenas ataques externos (pentest web black box) ou também ataques de uma conta de usuário (pentest web gray box)?
- Certos tipos de testes específicos devem ser incorporados? (engenharia social, etc.)
Estágios de um pentest Web
O primeiro estágio é a definição do escopo do pentest. Durante este estágio essencial, os pentesters são informados sobre os objetivos da auditoria, os elementos a serem incluídos no pentest, as condições do pentest e as solicitações específicas do cliente.
Durante a fase de preparação da auditoria, são definidas as condições técnicas: escolha de datas, definição de target, encaminhamento de informação e criação de contas-teste, se necessário, validação do plano de comunicação em caso de emergência.
No início da auditoria, a equipe da pentest entra em contato com a equipe técnica responsável pela plataforma Web a ser auditada.
Na maioria dos casos, os pentesters realizam a auditoria nos escritórios de Infosec Security.
Os resultados são retornados apenas quando a auditoria é concluída, a menos que o cliente solicite especificamente o contrário (escolha de uma opção de relatório em tempo real).
Pentest em aplicação Web
A Infosec Security juntamente com a Desec Security procura por vulnerabilidades relacionadas a recursos, implementação e uso de componentes de terceiros, o servidor e seus vários serviços, configurações de segurança, etc.
Os testes podem se concentrar apenas em elementos técnicos ou também podem incluir engenharia social.
Pentest na camada da aplicação
O teste de invasão na camada da aplicação é responsável pela maior parte da auditoria. Exemplos de falhas de segurança comuns:
- Falhas de injeção (principalmente SQL e comandos)
- Vulnerabilidades na gestão de autenticação e de sessões
- Exposição de dados sensíveis
- Falta de controle de acesso
- Cross-Site Scripting (XSS)
O pentest Web inclui a busca por falhas técnicas e lógicas (relacionadas ao fluxo da aplicação). Falhas lógicas existem quando a operação normal de uma aplicação, um estágio lógico ou o processo pretendido pode ser burlado ou evitado.
Pentest em servidor Web
O pentest em servidores Web se concentram em encontrar vulnerabilidades específicas à configuração da infraestrutura que hospeda os serviços. Exemplos de vulnerabilidades comuns:
- Serviços abertos e mal protegidos
- Software não atualizado (sistema operacional, FTP, etc.)
- Elementos de segurança que podem ser burlados
- Erros de configuração
Foco na negação de serviço (DoS)
O pentest web pode ou não incluir ataques de negação de serviço (DoS), dependendo de sua preferência.
Este tipo de teste permite identificar vulnerabilidades que podem estar relacionadas à configuração do servidor ou da aplicação. Em ambos os casos, as soluções dependem da sua equipa técnica e não da escolha do alojamento.
A Infosec Security juntamente com a Desec Security exclui ataques distribuídos de negação de serviço (DDoS) do teste de invasão, porque o problema e a solução dependem principalmente dos meios do lado do ataque, bem como do lado atacado.
O que Pentest Web não é
Rodar o Nessus ou Qualys na aplicação não é pentest. O pentest vai muito mais além do que um simples escanner de vulnerabilidade.
