Pentest API
Revise metodologias para APIs. Inclui microsserviços.
Nossos pentesters testam seus ativos rigorosamente.
Usamos as metodologias de teste de invasão listadas na página. Se quiser saber mais sobre cada metodologia, navegue até a página associada ao seu ativo.
API
A equipe de pentesters do Vantico não precisa de acesso ao código-fonte da aplicação web subjacente, a menos que você o especifique como um requisito.
Ao configurar um pentest para um ativo de API na IU, você verá o seguinte na caixa de texto Objetivos:
Cobertura do OWASP Top 10, ASVS e lógica de aplicação
Saiba mais sobre esses objetivos no OWASP:
Observamos a lógica do aplicativo trabalhando com seu aplicativo.
Detalhes da Metodologia
Baseamos nossa metodologia principalmente no Padrão de Verificação de Segurança de Aplicativos (ASVS) e no Guia de Testes da OWASP. Nossa equipe segue as seguintes etapas para garantir cobertura total:
Reconhecimento do escopo alvo
Nossos pentesters começam coletando as informações necessárias sobre sua API. Essas informações incluem:
URLs de API
Documentação da API
O ambiente alvo
Sua lógica de negócios
Fluxos de trabalho críticos
Funções e permissões disponíveis em seu aplicativo
Nossos pentesters também confirmam que podem acessar e executar comandos documentados em sua API. Se você precisar de tokens de acesso ou chaves de API para usar sua API, nossos pentesters poderão precisar de contas em seu sistema, com instruções, para configurar isso.
Nossos pentesters podem usar ferramentas de varredura, incluindo:
Burp Suite Community/Professional Edition
testssl.sh
Dirble
OWASP Zed Attack Proxy (ZAP)
2. Mapeamento lógico de negócios e aplicativosNossos pentesters examinam manualmente o aplicativo alvo para mapear:
Funções empresariais
Fluxos de trabalho
Os processos subjacentes
Nossos pentesters também constroem uma matriz de controles de acesso dentro do aplicativo com base em:
Uma lista de funções disponíveis
As ações suportadas para cada função
Nossos pentesters usam essa matriz para criar testes de segurança adicionais para:
Determine quão bem esses controles são aplicados
Identifique se alguém pode contornar esses controles
Nossos pentesters podem usar ferramentas de varredura, incluindo:
Burp Suite Community/Professional Edition
OWASP Zed Attack Proxy (ZAP)
3. Web Crawling Automatizando e ajustes de configuração do Web Scanner
Nossos pentesters podem usar ferramentas de segurança comerciais e de código aberto para avaliar sua API. Eles garantem que as ferramentas apropriadas cubram todo o escopo do aplicativo. Eles também cobrem todos os segmentos em questões de segurança.
Eles podem ter que ajustar manualmente suas ferramentas para garantir um desempenho otimizado.
Além disso, nossos pentesters realizam rastreamentos automatizados para identificar:
Páginas disponíveis para usuários não autenticados
A árvore de diretórios do seu site
Nossos pentesters podem usar ferramentas de varredura, incluindo:
Burp Suite Community/Professional Edition
testssl.sh
Dirble
OWASP Zed Attack Proxy (ZAP)
Escaneamento de Vulnerabilidades Autenticada e Crawling Manual
Nossos pentesters realizam vários testes nesta área, incluindo:
Testes de crwawnling automatizados, seguidos de verificação manual
Testes adicionais de rastreamento manual para melhor cobertura:
Inclui áreas de aplicação protegidas por autenticação
Quando aplicável, nossos pentesters executam verificações automatizadas com a sessão autenticada
Nossos pentesters tomam extremo cuidado para minimizar o impacto no sistema alvo.
Nossos pentesters podem usar ferramentas de varredura, incluindo:
Burp Suite Community/Professional Edition
OWASP Zed Attack Proxy (ZAP)
Nikto
Nessus
Teste e exploração manual de vulnerabilidade de API
Os pentesters da Vantico usam ferramentas de teste manuais para identificar e analisar os seguintes aspectos do ativo da API:
Funcionalidade
Fluxos de trabalho
Lógica de negócios
Vulnerabilidades na implantação e implementação
A avaliação identifica vulnerabilidades conhecidas, incluindo aquelas listadas em:
Nossos pentesters também:
Execute ataques de injeção que testem a robustez das rotinas de validação de servidor
Procure falhas no gerenciamento de sessões que possam permitir a representação do usuário
Investigue falhas no controle de acesso que expõem dados ou permitem que usuários obtenham privilégios elevados
Além desses testes, nossos pentesters também:
Teste até que ponto o design e a implementação protegem os dados contra acesso ou divulgação não autorizada
Revise como os endpoints validam a entrada
Revise como a API lida com tokens de acesso
Revise como a API responde a condições de erro ou estados inválidos
Considere o quão resistente a API é ao uso indevido acidental ou erros não intencionais por parte de um usuário que levariam a problemas de segurança
Para microsserviços, nossos pentesters se concentram nas interações entre diferentes sistemas. Especificamente, examinamos:
Gerenciamento de controle de acesso
Implementação Cross-Origin Resource Sharing (CORS)
Vulnerabilidades descritas no Projeto de Segurança da API OWASP
Nossos pentesters identificam o risco associado a cada descoberta, com base em:
Uma demonstração da exploração
Uma avaliação do impacto no ativo, no que diz respeito:
Funcionalidade empresarial
Dados
Usuários
Quando nossos pentesters “exploram” uma descoberta, eles demonstram a presença da vulnerabilidade e, ao mesmo tempo, minimizam o possível impacto adverso ao aplicativo, seus dados e sistemas subjacentes.
Nossos pentesters podem usar ferramentas de varredura, incluindo:
Burp Suite Community/Professional Edition
OWASP Zed Attack Proxy (ZAP)
sqlmap
Postman
Avaliações contínuas
Nossos pentesters reportam suas descobertas, em tempo real, através da plataforma Vantico. Eles também:
Avalie todos os riscos
Recomendar etapas para correção
Você está convidado a se comunicar com nossos pentesters sobre cada uma de suas descobertas.
Relatórios, triagem e re-tests
Os pentesters Vantico relatam e fazem a triagem de todas as vulnerabilidades durante a avaliação. Você pode revisar os detalhes de todas as descobertas, em tempo real, por meio da plataforma Vantico. Nessas descobertas, assim como em qualquer relatório, nossos pentesters incluem informações detalhadas sobre como você pode:
Corrija cada descoberta
Melhore sua postura geral de segurança
Você pode corrigir as descobertas durante e após o pentest. Em seguida, você pode enviar as descobertas para re-test. Nossos pentesters testam os componentes atualizados e testam novamente os problemas para garantir que não haja riscos residuais relacionados à segurança.
Requisitos Adicionais
Você pode definir objetivos de teste adicionais. Se você seguir práticas recomendadas além de OWASP, ASVS ou OSSTMM, informe-nos. Inclua um link ou outra documentação. Se for uma prática de segurança “bem conhecida”, nossos pentesters provavelmente já a conhecem!
Se você tiver instruções especiais para um pentest, adicione-as mais tarde, em Instruções Especiais.
Last updated