Metodologias API

Nossos pentesters testam seus ativos rigorosamente.

Usamos as metodologias de teste de penetração listadas na página. Se quiser saber mais sobre cada metodologia, navegue até a página associada ao seu ativo.

API

A equipe de pentesters do Vantico não precisa de acesso ao código-fonte da aplicação web subjacente, a menos que você o especifique como um requisito.

Ao configurar um pentest para um ativo de API na IU, você verá o seguinte na caixa de texto Objetivos:

Cobertura do OWASP Top 10, ASVS e lógica de aplicação

Saiba mais sobre esses objetivos no OWASP:

• https://owasp.org/www-project-api-security

• https://owasp.org/www-project-application-security-verification-standard

Observamos a lógica do aplicativo trabalhando com seu aplicativo.

Detalhes da Metodologia

Baseamos nossa metodologia principalmente no Padrão de Verificação de Segurança de Aplicativos (ASVS) e no Guia de Testes da OWASP. Nossa equipe segue as seguintes etapas para garantir cobertura total:

1. Reconhecimento do escopo alvo

Nossos pentesters começam coletando as informações necessárias sobre sua API. Essas informações incluem:

• URLs de API

• Documentação da API

• O ambiente alvo

• Sua lógica de negócios

• Fluxos de trabalho críticos

• Funções e permissões disponíveis em seu aplicativo

Nossos pentesters também confirmam que podem acessar e executar comandos documentados em sua API. Se você precisar de tokens de acesso ou chaves de API para usar sua API, nossos pentesters poderão precisar de contas em seu sistema, com instruções, para configurar isso.

Nossos pentesters podem usar ferramentas de varredura, incluindo:

• Burp Suite Community/Professional Edition

• testssl.sh

• Dirble

• OWASP Zed Attack Proxy (ZAP)

2. Mapeamento lógico de negócios e aplicativosNossos pentesters examinam manualmente o aplicativo alvo para mapear:

• Funções empresariais

• Fluxos de trabalho

• Os processos subjacentes

Nossos pentesters também constroem uma matriz de controles de acesso dentro do aplicativo com base em:

• Uma lista de funções disponíveis

• As ações suportadas para cada função

Nossos pentesters usam essa matriz para criar testes de segurança adicionais para:

• Determine quão bem esses controles são aplicados

• Identifique se alguém pode contornar esses controles

Nossos pentesters podem usar ferramentas de varredura, incluindo:

• Burp Suite Community/Professional Edition

• OWASP Zed Attack Proxy (ZAP)

3. Web Crawling Automatizando e ajustes de configuração do Web Scanner

Nossos pentesters podem usar ferramentas de segurança comerciais e de código aberto para avaliar sua API. Eles garantem que as ferramentas apropriadas cubram todo o escopo do aplicativo. Eles também cobrem todos os segmentos em questões de segurança.

Eles podem ter que ajustar manualmente suas ferramentas para garantir um desempenho otimizado.

Além disso, nossos pentesters realizam rastreamentos automatizados para identificar:

• Páginas disponíveis para usuários não autenticados

• A árvore de diretórios do seu site

Nossos pentesters podem usar ferramentas de varredura, incluindo:

• Burp Suite Community/Professional Edition

• testssl.sh

• Dirble

  • OWASP Zed Attack Proxy (ZAP)

1. Escaneamento de Vulnerabilidades Autenticada e Crawling Manual

Nossos pentesters realizam vários testes nesta área, incluindo:

• Testes de crwawnling automatizados, seguidos de verificação manual

  • Testes adicionais de rastreamento manual para melhor cobertura:

    • Inclui áreas de aplicação protegidas por autenticação

    • Quando aplicável, nossos pentesters executam verificações automatizadas com a sessão autenticada

Nossos pentesters tomam extremo cuidado para minimizar o impacto no sistema alvo.

Nossos pentesters podem usar ferramentas de varredura, incluindo:

• Burp Suite Community/Professional Edition

• OWASP Zed Attack Proxy (ZAP)

• Nikto

• Nessus

1. Teste e exploração manual de vulnerabilidade de API

Os pentesters da Vantico usam ferramentas de teste manuais para identificar e analisar os seguintes aspectos do ativo da API:

• Funcionalidade

• Fluxos de trabalho

• Lógica de negócios

• Vulnerabilidades na implantação e implementação

A avaliação identifica vulnerabilidades conhecidas, incluindo aquelas listadas em:

• https://owasp.org/www-project-api-security/

• https://cve.mitre.org/

Nossos pentesters também:

• Execute ataques de injeção que testem a robustez das rotinas de validação de servidor

• Procure falhas no gerenciamento de sessões que possam permitir a representação do usuário

• Investigue falhas no controle de acesso que expõem dados ou permitem que usuários obtenham privilégios elevados

Além desses testes, nossos pentesters também:

• Teste até que ponto o design e a implementação protegem os dados contra acesso ou divulgação não autorizada

• Revise como os endpoints validam a entrada

• Revise como a API lida com tokens de acesso

• Revise como a API responde a condições de erro ou estados inválidos

• Considere o quão resistente a API é ao uso indevido acidental ou erros não intencionais por parte de um usuário que levariam a problemas de segurança

Para microsserviços, nossos pentesters se concentram nas interações entre diferentes sistemas. Especificamente, examinamos:

• Gerenciamento de controle de acesso

• Implementação Cross-Origin Resource Sharing (CORS)

• Vulnerabilidades descritas no Projeto de Segurança da API OWASP

Nossos pentesters identificam o risco associado a cada descoberta, com base em:

• Uma demonstração da exploração

• Uma avaliação do impacto no ativo, no que diz respeito:

  • Funcionalidade empresarial

  • Dados

  • Usuários

Quando nossos pentesters “exploram” uma descoberta, eles demonstram a presença da vulnerabilidade e, ao mesmo tempo, minimizam o possível impacto adverso ao aplicativo, seus dados e sistemas subjacentes.

Nossos pentesters podem usar ferramentas de varredura, incluindo:

• Burp Suite Community/Professional Edition

  • OWASP Zed Attack Proxy (ZAP)

  • sqlmap

  • Postman

1. Avaliações contínuas

Nossos pentesters reportam suas descobertas, em tempo real, através da plataforma Vantico. Eles também:

• Avalie todos os riscos

• Recomendar etapas para correção

Você está convidado a se comunicar com nossos pentesters sobre cada uma de suas descobertas.

1. Relatórios, triagem e re-tests

Os pentesters Vantico relatam e fazem a triagem de todas as vulnerabilidades durante a avaliação. Você pode revisar os detalhes de todas as descobertas, em tempo real, por meio da plataforma Vantico. Nessas descobertas, assim como em qualquer relatório, nossos pentesters incluem informações detalhadas sobre como você pode:

• Corrija cada descoberta

• Melhore sua postura geral de segurança

Você pode corrigir as descobertas durante e após o pentest. Em seguida, você pode enviar as descobertas para re-test. Nossos pentesters testam os componentes atualizados e testam novamente os problemas para garantir que não haja riscos residuais relacionados à segurança.

Requisitos Adicionais

Você pode definir objetivos de teste adicionais. Se você seguir práticas recomendadas além de OWASP, ASVS ou OSSTMM, informe-nos. Inclua um link ou outra documentação. Se for uma prática de segurança “bem conhecida”, nossos pentesters provavelmente já a conhecem!

Se você tiver instruções especiais para um pentest, adicione-as mais tarde, em Instruções Especiais.