Avaliação de penetração em aplicativos da Web

Encontre vulnerabilidades em seu site

Visão geral

O Instituto Nacional de Normas e Tecnologia dos EUA calcula que até 92% das vulnerabilidades de hoje estão na camada de aplicativos. Nossa experiência mostra que 9 em cada 10 clientes apresente pelo menos uma falha grave que pode levar à divulgação de dados de clientes ou ao comprometimento total do sistema. A Avaliação de Penetração em Aplicativos da Web da Foundstone examina um site do ponto de vista de um hacker mal-intencionado e descobre as falhas antes que elas possam ser exploradas.

A Foundstone domina o campo de testes de penetração em aplicativos da Web desde o primeiro dia. Nós publicamos "Hacking Exposed: Aplicativos da Web” e continuamos promovendo a liderança intelectual do setor com o nosso mais recente livro, “How to Break Web Software.” Continuaremos integrando o serviço às nossas ofertas mais amplas de segurança de software para ajudar nossos clientes a projetar e criar programas mais seguros.

Criamos e lançamos muitas ferramentas gratuitas para ajudar a automatizar algumas áreas de teste, entre elas o SSLDigger, uma ferramenta para testar a força de criptografia e configuração de SSL em servidores de Web; CookieDigger, uma ferramenta para testar a força de segurança de cookies de sessão, e o SiteDigger, uma ferramenta para determinar se mecanismos de busca como o Google estão expondo peças da sua presença online.

O Projeto de Segurança de Aplicativos de Web Abertos (Open Web Application Security Project, OWASP) é o ponto de referência de fato nessa área. Atualmente, a Foundstone conduz vários projetos importantes, entre eles a criação de um padrão para critérios de teste.

Principais Benefícios

  • Encontre falhas nos sites de produção antes dos hackers
  • Realize o controle de qualidade da segurança quando os aplicativos são colocados em produção
  • Entenda os riscos e o possível impacto sobre seus negócios
  • Conte com uma metodologia detalhada e tradicional de testes manuais de precisão e eficácia
  • Garanta a transferência de conhecimentos de técnicas de teste, problemas e correções

Metodologia

Entendemos as significativas limitações das ferramentas automatizadas de teste, como scanners de aplicativos de Web. Por isso, praticamente todos os nossos testes são realizados e verificados manualmente, usando uma metodologia bem-definida, reprodutível e uniforme. Usamos ferramentas automatizadas nas áreas da avaliação apenas se a sua precisão e eficácia forem comprovadas (geralmente menos de 5% de um projeto), e patrocinamos um projeto de pesquisa do OWASP para avaliar comparativamente o desempenho dessas ferramentas automatizadas.

Descoberta — Trabalhamos com você para entender o impacto de vários recursos sobre os negócios, para que possamos qualificar e quantificar o risco das vulnerabilidades que encontramos.

Avaliação — Para garantir que todas as áreas vitais sejam testadas e, para garantir a uniformidade e a reprodutibilidade, usamos uma estrutura uniforme de segurança que inclui:

  • Autenticação
  • Autorização
  • Gerenciamento de usuários
  • Gerenciamento de sessão
  • Validação de dados, inclusive todos os ataques comuns, tais como injeção de SQL, cross-site scripting, injeção de comandos e validação pelo lado do cliente
  • Tratamento de erros e gerenciamento de exceções
  • Auditoria e registro

Relatórios e resultados — No final dos trabalhos, geramos um relatório formal detalhado, com um resumo executivo que organiza em ordem de prioridade os resultados e o impacto sobre os seus negócios. Nossas conclusões técnicas individuais contêm todos os detalhes e recomendações específicos para a atenuação.