Pentester

Aplicação Alvo Web

URL de Acesso:


Ambiente de Teste: [Web/Produção]


Aplicação Alvo: Android e IOS

Limitações e Exclusões

Componentes Excluídos: Engenharia social e testes de DDoS

Ambientes Excluídos: Infraestrutura interna crítica

Testes Incluídos: O teste inicial será baseado em uma análise mais profunda dos componentes internos e externos da aplicação, incluindo APIs e controle de autenticação. Os testes serão focados nas seguintes áreas principais web e app:
owasp-wstg

a01: broken access control

teste de controles de acesso para verificar se são adequados e se podem ser contornados.

A02: Cryptographic Failures

Verificação do uso de criptografia, armazenamento de dados sensíveis e transmissão segura.

A03: Injection

Testes para identificar injeções sql, xss (cross-site scripting), e outras injeções.

A04: Insecure Design

Avaliação inicial da arquitetura da aplicação para identificar falhas de design que possam levar a vulnerabilidades.

A05: Security Misconfiguration

Verificação de configurações incorretas em servidores, frameworks e serviços.

A06: Vulnerable and Outdated Components

Análise de bibliotecas e componentes para garantir que estão atualizados e sem vulnerabilidades conhecidas.

A07: Identification and Authentication Failures

Testes de segurança em mecanismos de autenticação e gerenciamento de sessões.

API Testing

Testes em APIs para verificar a integridade do controle de acesso e autenticação.

NIST 800-115- Coleta de Informações

Varredura de portas, mapeamento de rede, e identificação de versões de software.

NIST 800-115- Exploração de Vulnerabilidades

Verificação de vulnerabilidades descobertas na coleta de informações, com tentativas de exploração.



owasp-masvs



masvs-storage: 

armazenamento seguro de dados sensíveis em um dispositivo (dados em repouso).

masvs-crypto: 

funcionalidade criptográfica usada para proteger dados sensíveis.

masvs-auth: 

mecanismos de autenticação e autorização usados pelo aplicativo móvel.

masvs-network: 

comunicação de rede segura entre o aplicativo móvel e pontos de extremidade remotos (dados em trânsito).

masvs-platform: 

interação segura com a plataforma móvel subjacente e outros aplicativos instalados.

masvs-code: 

melhores práticas de segurança para processamento de dados e para manter o aplicativo sempre atualizado.

masvs-resilience: 

resiliência a tentativas de engenharia reversa e adulteração.

masvs-privacy: 

controles de privacidade para proteger a privacidade do usuário.

Metodologia


Abordagem: Grey Box (acesso limitado)

Procedimentos de Teste: Realização de Testes manuais e automatizados em APIs, autenticação e controle de acesso.



Considerações Adicionais Para Otimização Do Projeto



Pós Teste



Entrega de Relatório: Em PDF contendo todos os itens acima citados, suas exposições e vulnerabilidades identificadas

Recomendações: Plano de ação para correção e sugestão para novo teste de validação

Reteste de Pentest: Após a correção das vulnerabilidades identificadas no relatório do pentest inicial, está incluído na proposta a realização de um reteste para validar a eficácia das correções implementadas. Esse reteste garantirá que as falhas reportadas foram devidamente tratadas e que o ambiente está em conformidade com os padrões de segurança recomendados.



Considerações Legais e Éticas



Autorização: Autorização explícita do Cliente


Confidencialidade: Acordos de confidencialidade e proteção de dados.

Metodologia: PTES - http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines



Requisito e Acesso



Credenciais de Acesso: Não há necessidade

Ambientes e Sistemas: Todo escopo Web e domínio







Prazo

A implementação do projeto deverá ocorrer em até 7 dias uteis