Avaliação de penetração em aplicativos

Localize e corrija vulnerabilidades de aplicativos

Visão geral

Por que deixar que os hackers descubram as vulnerabilidades de seus aplicativos? Deixe a Foundstone encontrar os pontos fracos da sua segurança e corrigi-los primeiro. A Foundstone pode salvar a reputação da sua empresa e evitar perdas de receitas.

O Instituto Nacional de Normas e Tecnologia dos EUA calcula que até 92% das vulnerabilidades de hoje estão na camada de aplicativos. Praticamente todos os principais aplicativos em uso hoje em dia já sofreram pelo menos uma divulgação de vulnerabilidade crítica, prejudicando as vendas, a reputação e a confiança dos clientes. O serviço de Teste de Penetração de Aplicativos da Foundstone examina um aplicativo do ponto de vista de um hacker mal-intencionado e descobre as falhas, antes que elas sejam divulgadas e exploradas.

Principais Benefícios

  • Encontre falhas nos aplicativos antes dos hackers.
  • Realize uma verificação da qualidade da segurança antes que os aplicativos sejam liberados.
  • Entenda o risco e o possível impacto sobre a sua empresa e seus produtos.
  • Confie em nosso teste manual de precisão e eficácia.
  • Garanta a transferência ativa de conhecimentos de técnicas de teste, problemas e correções.

Metodologia

O teste começa com análises estáticas dos executáveis binários e das bibliotecas que compõem o aplicativo. As varreduras em nível de servidor procuram vulnerabilidades conhecidas e erros de configuração comuns. Em seguida, nossos consultores de avaliação de penetração executam um processo de descoberta para reunir informações sobre os aplicativos e buscar vulnerabilidades de divulgação de informações que revelem segredos, tais como senhas, chaves criptográficas, ou informações de clientes. Com esses dados em mãos, a Foundstone realiza a maior parte do teste, que consiste em:

  • Testes de gestão de configurações, inclusive a descoberta da presença de informações sigilosas em arquivos de configuração. Eles também procuram informações sobre o ambiente que pode ser adulterado para alterar o comportamento dos aplicativos, além de segredos e sequências textuais em binários de aplicativos ou na memória.
  • Exame da proteção dos dados em armazenamento e em trânsito, quando informações sigilosas são enviadas através da rede ou armazenadas em disco ou em um banco de dados.
  • Testes de autenticação e autorização para determinar as oportunidades de desvio e elevação de privilégios.
  • Verificações de gerenciamento de sessão e estado para sequestro de sessão e outros ataques desse tipo.
  • Testes de validação de dados para detectar problemas como injeção de SQL e estouros de buffer.
  • Testes de tratamento de erros e gerenciamento de exceções, que tentam travar o aplicativo e deixá-lo desprotegido ou causar a divulgação de informações através de arquivos de despejo de memória.
  • Verificações de auditoria e logs que tentam subverter acompanhamentos retrospectivos (audit trails), criar entradas de registro falsas, descobrir informações sigilosas nos arquivos de log, ou usar o mecanismo de criação de logs como um vetor de ataque.

Durante todos os testes, o principal objetivo é comprometer os servidores de aplicativos, agentes remotos e clientes. Além disso, a Foundstone procura vulnerabilidades de aplicativos que permitiriam a um atacante obter acesso ao sistema operacional ou aos servidores de banco de dados de retaguarda.