A lista de verificação de cobertura difere para cada tipo de ativo.

• Para ativos Web, API e móveis, a lista é baseada no OWASP ASVS Nível 3.

• Para outras metodologias de pentest que não são cobertas pelo OWASP, definimos uma linha de base personalizada com base nas informações de especialistas do domínio.

Como os Pentesters trabalham com a lista de verificação de cobertura

A lista de verificação de cobertura não se destina a descrever como realizar um pentest. Seu objetivo é ajudar a coordenar o trabalho dos pentesters e garantir a cobertura da linha de base. Normalmente, o trabalho dos pentesters vai muito além da lista de verificação de cobertura.

Os pentesters usam a lista de verificação de cobertura de forma colaborativa durante um pentest.

• Depois que um pentester conclui uma verificação específica, ele marca esse item como testado.

• Outros pentesters veem quais itens foram testados e quais precisam ser trabalhados.

• Vários pentesters podem cobrir os mesmos controles de segurança.

Como usar a lista de verificação de cobertura

Na página do pentest, navegue até a guia Cobertura. A lista de verificação de cobertura estará disponível assim que o pentest passar para Planejado.

• Acompanhe o progresso dos testes em tempo real, para cada categoria de segurança ou para todo o pentest.

• Identifique categorias que possuem descobertas associadas. Trabalhe nesses controles de segurança para minimizar os riscos.

• Analise quais controles de segurança passaram no teste. Se os pentesters encontraram vulnerabilidades nessas categorias anteriormente, isso significa que você corrigiu os problemas com sucesso.