Pentest WEB
Revise as metodologias de pentest Vantico para aplicações web, incluindo microsserviços
Last updated
Revise as metodologias de pentest Vantico para aplicações web, incluindo microsserviços
Last updated
O teste de invasão de aplicativos da Web é um processo no qual um testador usa ataques simulados para identificar possíveis vulnerabilidades de segurança em um aplicativo da Web.
Seguimos uma metodologia padrão do setor baseada principalmente no OWASP Application Security Verification Standard (ASVS) e no Guia de Testes. No suporte, utilizamos diversas ferramentas manuais e automatizadas, descritas nas etapas a seguir, para garantir cobertura total.
O teste de invasão de um aplicativo web inclui as seguintes etapas:
Reconhecimento de escopo alvo
Mapeamento lógico de negócios e aplicativos
Rastreamento automatizado da web e ajustes de configuração do scanner da web
Verificação de vulnerabilidade autenticada/rastreamento manual
Testes manuais de vulnerabilidade da web/revisões de exploração/microsserviços
Avaliações contínuas
Relatórios, triagem e novos testes
Nota:
As ferramentas que nossos pentesters usam durante cada fase de teste podem variar de teste para teste.
Os pentesters Vantico não precisam de acesso ao código-fonte do seu aplicativo, a menos que você o especifique como um requisito. Observamos a lógica do aplicativo trabalhando com seu aplicativo.
Os testes de um ativo da Web incluem testes de APIs usadas para preencher o conteúdo desse ativo. Se você tiver APIs adicionais, considere configurar:
Um teste combinado Web + API
Um teste separado para APIs
Reconhecimento do Escopo Alvo
Com base no briefing do pentest preparado pelo cliente, os pentesters da Vantico buscam informações sobre os alvos e investigam o escopo.
Essas informações incluem:
URLs de aplicativos da Web
Descrições da lógica do aplicativo
Funções críticas para o negócio
Os pentesters então confirmam que podem:
Alcançar e escanear os alvos
Teste a funcionalidade do aplicativo
Ferramentas:
Os pentesters Vantico podem usar ferramentas de varredura de reconhecimento, como:
Recon-ng
Dnscan
Dirble
Aquatona
Masscan
Mapeamento lógico de negócios e aplicativos
Os pentesters examinam manualmente os aplicativos de destino para mapear:
Funções empresariais
Fluxos de trabalho
Processos subjacentes
Eles também criam uma matriz de controles de acesso no aplicativo com base nas funções e ações suportadas. Nossos pentesters usam essa matriz para planejar testes de segurança adicionais, que determinam:
Quão bem esses controles são aplicados
Como um invasor pode contornar esses controles
Ferramentas:
Os pentesters Vantico podem usar ferramentas de análise lógica de aplicação, como:
Burp Suite Pro/Community
Postman
OWASP Zed Attack Proxy
Rastreamento automatizado da Web Crawnling e configurações e ajustes Web Scanner
Nossos pentesters usam ferramentas de segurança comerciais e gratuitas para avaliar o aplicativo alvo. Eles modificarão essas ferramentas conforme necessário, para garantir que a varredura possa encontrar problemas de segurança em cada segmento do seu ativo e no aplicativo como um todo.
Além disso, nossos pentesters executam rastreamentos automatizados para:
Identifique todas as páginas disponíveis para usuários não autenticados
Determine a árvore completa do site
Ferramentas:
Os pentesters Vantico podem usar ferramentas de rastreamento e web crawling, como:
Nmap
Burp Suite Pro/Community
Nikto
Escaneamento de Vulnerabilidade Autenticada / Manual Crawling
Nesta parte do processo de pentest, nossos pentesters:
Use ferramentas automatizadas para rastreamento de aplicativos da web
Verifique os resultados manualmente
Execute testes crawnling manuais para melhor cobertura
Verifique a autenticação em áreas protegidas do aplicativo
Com a verificação automatizada, nossos pentesters:
Avalie o aplicativo usando as sessões autenticadas, quando aplicável
Nossos pentesters tomam extremo cuidado para minimizar o impacto no sistema alvo.
Ferramentas:
Os pentesters Vantico podem usar ferramentas de verificação de vulnerabilidades, como:
WPScan
Burp Suite Pro/Community
sqlmap
Testes manuais de vulnerabilidade da Web/Revisões de Exploração/Microsserviços
Os pentesters Vantico usam testes manuais assistidos por ferramentas para identificar e analisar as seguintes partes do aplicativo em busca de vulnerabilidades:
Funcionalidade
Lógica de negócios
Implantação
A avaliação identifica vulnerabilidades publicadas, incluindo aquelas listadas no:
OWASP Top 10
Relatórios CVE ou rastreados por entradas CVE
Nossos pentesters também levam em consideração os fluxos de trabalho e a lógica de negócios quando identificam vulnerabilidades no aplicativo.
A avaliação inclui testes para vulnerabilidades como:
Ataques de injeção que testam a robustez das rotinas de validação de servidor
Falhas no gerenciamento de sessões que poderiam permitir a representação do usuário
Falhas no controle de acesso que expõem dados ou permitem que os usuários obtenham privilégios elevados
Se a aplicação incluir microsserviços, nossos pentesters se concentram nas interações entre diferentes sistemas. Eles examinam a implementação de:
Gerenciamento de controle de acesso
Cross-Origin Resource Sharing (CORS)
Examinamos minuciosamente:
Gerenciamento de controle de acesso
Implementação Cross-Origin Resource Sharing (CORS)
Vulnerabilidades descritas no Projeto de Segurança da API OWASP
Para cada descoberta, os pentesters determinam o risco associado a cada problema:
Demonstrando como o problema pode ser explorado
Avaliar seu impacto no contexto da função de negócios, dos dados e dos usuários do ativo
Configurando uma exploração de prova de conceito para:
Demonstrar a presença da vulnerabilidade
Minimize o potencial impacto adverso para o aplicativo, seus dados e seus sistemas subjacentes
Ferramentas:
Os pentesters Vantico usam várias ferramentas de teste e exploit, como:
Burp Suite Pro/Community
OWASP ZAP
Dirble
Nuclei
Avaliações contínuas
Nossos pentesters reportam suas descobertas, em tempo real, através da plataforma Vantico. Eles também:
Avaliam todos os riscos
Recomendam etapas para correção
Você está convidado a se comunicar com nossos pentesters sobre cada uma de suas descobertas.
Relatórios, triagem e Re-Test
Os pentesters Vantico relatam e fazem a triagem de todas as vulnerabilidades durante a avaliação. Você pode revisar os detalhes de todas as descobertas, em tempo real, por meio da plataforma Vantico. Nessas descobertas, assim como em qualquer relatório, nossos pentesters incluem informações detalhadas sobre como você pode:
Corrigir cada descoberta
Melhorar sua postura geral de segurança
Você pode corrigir as descobertas durante e após o pentest. Em seguida, você pode enviar as descobertas para re-test. Nossos pentesters testam os componentes atualizados e testam novamente os problemas para garantir que não haja riscos residuais relacionados à segurança.