A Metodologia de Classificação de Risco OWASP especifica os níveis Alto, Médio e Baixo. Adicionamos níveis Crítico e Informativo para ajudá-lo a priorizar nossas descobertas.

Seguimos o modelo de risco padrão descrito pela OWASP, onde:

Risco = Probabilidade * Impacto

Neste caso, a classificação de risco é baseada nos seguintes fatores:

• Probabilidade: especifica a probabilidade de explorar a descoberta. Pode incluir fatores como:

  • Habilidade necessária para um invasor explorar uma vulnerabilidade

  • Disponibilidade de explorações documentadas

  • Facilidade de explorar a vulnerabilidade

• Impacto: Depende do efeito nas operações técnicas e comerciais. Pode incluir:

  • Perda de confidencialidade

  • Problemas com integridade de dados

  • Disponibilidade reduzida de dados ou sistemas

  • Perdas potenciais de dinheiro ou reputação

Quando nossos pentesters encontram vulnerabilidades, eles usam o modelo de risco padrão OWASP e depois as classificam em um dos seguintes níveis:

Assim que nossos pentesters atribuírem um nível de severidade, moveremos a descoberta para Correção Pendente, conforme descrito em nossos Estados de Descoberta.