ESTAREMOS EM BREVE COM OS SERVIÇOS ABAIXO:
AUDITORIA DE APLICAÇÕES WEB
Objetivo
O serviço Auditoria de Segurança em Aplicação Web visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.
Detalhamento do Serviço
Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado.
Será também assinado um Acordo de Confidencialidade (NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.
Detalhamento das Atividades
A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação da existência de boas práticas de segurança no desenvolvimento e manutenção do site.
Abaixo veremos a descrição dos principais ítens que serão verificados no site, assim como algumas das ferramentas utilizadas:
Cross Site Scripting (XSS)
A aplicação envia ao browser dados fornecidos pelo usuário sem o devido tratamento. Pode ocasionar execução de código arbitrário no browser da vítima, roubo de sessão, alteração de sites e até downloads de artefatos maliciosos.
Injeção de Código
Dados enviados pelos usuários são tratados (interpretados/executados) pela aplicação sem nenhum tipo de validação. Possibilita a execução de instruções (na maioria das vezes maliciosas) diferentes das esperadas pela aplicação.
Inclusão Remota de Arquivos (RFI)
O usuário pode passar parâmetros para aplicação que consistem em nome de arquivos para referência ou upload. Possibilita a inserção de arquivos maliciosos no contexto da aplicação.
Referência direta a objetos
Exposição de referências a objetos e implementações internas da aplicação. Possibilita a referência direta a tais objetos e possível bypass do controle de autenticação.
Vazamento de Informação
Exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda. Possibilita a obtenção de informações sensíveis para elaboração de ataques contra a aplicação.
Gerenciamento de Sessões
Proteção de tokens, chaves e/ou identificadores de sessão feita de maneira insuficiente. Possibilita captura de credenciais e roubo de sessão.
Canais de Comunicação
Exposição de dados sensíveis na comunicação entre servidores e clientes. Possibilita a captura de informações trocadas entre o cliente e a aplicação podendo culminar em roubo de informações sensíveis e credenciais. Através da avaliação do comportamento da aplicação mediante esses testes é possível obter um diagnóstico preciso sobre a segurança da mesma. Um modelo de maturidade será elaborado para orientar o desenvolvimento da aplicação, assim como serão recomendadas boas práticas de programação segura.
Produtos Gerados
Como produto final o cliente receberá um relatório técnico detalhado sobre os testes executados e seus resultados, assim como recomendações de medidas de correção e uma sugestão de um detalhado Plano de Ação.
AUDITORIA DE TESTE DE INVASÃO
Objetivo
O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.
Detalhamento do Serviço
Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado.
Será também assinado um Acordo de Confidencialidade (NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.
Detalhamento das Atividades
O serviço consiste na realização de uma auditoria Teste de Invasão na infra-estrutura do cliente, seja remoto ou presencial, objetivando prover informações sobre vulnerabilidades e brechas que possam ser exploradas por usuários maliciosos. Os testes podem ser originados internamente ou externamente e os auditores podem ou não ter acesso a informações sobre a estrutura(definição se o teste será do tipo "caixa preta" ou "caixa branca").
Testes de Negação de Serviço podem também ser realizados, deste que estejam dentro do escopo do serviço contratado pelo cliente. Os diferentes testes realizados serão modelados em árvores de ataque, de acordo com dados identificados antes da etapa de invasão e em conformidade com perfil e limitações acordados.
A ordem de ataques seguirá o caminho de menor resistência a partir de pesos de dificuldade definidos na árvore associada. Ao longo da execução do serviço, toda e qualquer questão crítica identificada será imediatamente repassada ao Cliente para garantir que o mesmo esteja ciente do problema. Neste caso, a gravidade da questão apresentada será discutida com o Cliente e mecanismos de contorno ou correções serão apresentados. Com o término do serviço, toda informação criada ou armazenada nos objetos-alvo dos testes é removida, de modo a deixar o sistema o mais próximo do estado em que foi apresentado antes do serviço. Toda atividade realizada será registrada com data/hora e IP de origem e devidamente detalhada no relatório, assim como a listagem de todas as ferramentas e metodologias utilizadas.
TESTE REALIZADOS ABAIXO:
Sondagem e Mapeamento
Consiste na varredura por hosts ativos, mapeamento de topologia e regras de firewall e detecção de serviços em execução.
Força Bruta
Visa detectar serviços de autenticação ou controle de acesso vulneráveis a ataques de tentativa e erro de senhas. Analisa a qualidade da política de senha e de sua implementação.
Análise de Tráfego de rede
Verifica se é possível identificar e obter informações sensíveis através da manipulação de tráfego de rede.
Avaliação de Servidores Web
Busca as principais vulnerabilidades em serviços deste tipo. Manipula requisições de modo a tentar comprometer a segurança de serviços web.
Identificação e Exploração de Vulnerabilidades
Lança códigos malicosos visando explorar as vulnerabilidades identificadas. Através da avaliação do comportamento dos ativos mediante esses testes é possível obter um diagnóstico preciso sobre a segurança dos mesmos.
Produtos Gerados
Como produto final o cliente receberá um relatório técnico detalhado sobre os testes executados e seus resultados, assim como recomendações de medidas de correção e uma sugestão de um detalhado Plano de Ação.
Nenhum comentário:
Postar um comentário