SlideShare uma empresa Scribd logo

WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf

F
FranciscoZunza1

Exemplo de relatorio de teste de invasão web

Negócios
1 de 7
Baixar para ler offline
Relatório Teste de intrusão em aplicação WEB CLASSIFICAÇÃO: RESTRITO Realizado por Data: Auditor: Empresa: Revisor: Empresa: Versão: 28/06/2022 Vinícius Leão eSecurity Alan Sanches eSecurity 1.0
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 2 Teste de Intrusão em aplicação WEB Sumário 1. Introdução............................................................................................................... 3 1.1. Dados do alvo................................................................................................................ 3 2. Conclusão do teste de intrusão ............................................................................... 3 3. Metodologia utilizada.............................................................................................. 3 3.1. OWASP Top Ten 2021 Project para pentest WEB......................................................... 4 4. Modelo de Teste...................................................................................................... 6 5. Auditor responsável pelo projeto............................................................................ 7
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 3 Teste de Intrusão em aplicação WEB 1. Introdução Este relatório tem como objetivo apresentar os riscos sistêmicos em aplicação web e seu impacto no negócio, em teste de intrusão e análise de vulnerabilidades que foram realizados entre os dias 09 de maio de 2022 a 20 de junho de 2022. 1.1. Dados do alvo Dados do Cliente: • Razão Social: VERIFACT TECNOLOGIA LTDA • CNPJ: 32.797.434/0001-50 Target: • https://app.verifact.com.br/ Credenciais: E-Mail: Tipo: testmaster@XXXXXX.com.br testegestor@XXXXXX.com.br Master Subgestor da master testeconvidado@XXXXXX.com.br testecomum@XXXXXX.com.br Convidado da master Comum 2. Conclusão do teste de intrusão Foram realizados diversos testes de segurança e tentativas de obtenção de informações ou dados de acessos restritos ou limitados, simulando um ataque real a partir da WEB. Nesta análise foram encontradas diversas proteções de segurança para evitar ataques simples e sofisticados no processo de coleta de informações fornecida pela plataforma, bem como em outros pontos do ambiente. Dentre os testes realizados priorizamos ataques que consistiam na tentativa de manipulação do processo de coleta de dados e do material após a preservação, tais quais se encontram disponíveis na internet no momento do registro. Também buscamos sistematicamente manipular as informações do ambiente WhatsApp Desktop durante a coleta de informações, além das tentativas de alterações, manipulações ou falsificação destes dados, afins de forjar evidências. Não foram encontradas vulnerabilidades conhecidas no ambiente, baseada na metodologia apresentada abaixo. 3. Metodologia utilizada A metodologia utilizada para este teste de intrusão em aplicações WEB foi baseada no guia público e colaborativo “OWASP Testing Guide versão 4”. O OWASP Testing Guide v4 inclui uma estrutura de testes de penetração baseada nas “melhores práticas”, que podem ser implementadas em testes de intrusão em ambiente web. Ele também inclui um guia de teste de penetração de “baixo nível” que descreve técnicas para testar os problemas mais comuns em aplicativos e serviços Web. Hoje, o Testing Guide é o
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 4 Teste de Intrusão em aplicação WEB padrão para realizar o Teste de penetração de aplicativos da Web, e muitas empresas em todo o mundo o adotaram. Para obter detalhes sobre a metodologia aplicada, visite a página no link abaixo: https://www.owasp.org/index.php/OWASP_Testing_Project 3.1. OWASP Top Ten 2021 Project para pentest WEB Durante a bateria de testes, iremos abranger centenas de possibilidades para encontrar e / ou provocar vulnerabilidades, além de coletar o máximo de informações possíveis sobre a aplicação e o ambiente que a hospeda, e então, analisar os riscos que essas informações poderão trazer ao negócio. Será exercido maior esforço dos 10 grupos de vulnerabilidades mais comuns nos últimos anos, esse conjunto de 10 vulnerabilidades representam um número substancial de todas as vulnerabilidades em aplicações web reportadas. O OWASP Top 10-2021 é baseado principalmente em mais de 40 envios de dados de empresas especializadas em segurança de aplicativos e uma pesquisa do setor que foi concluída por mais de 500 pessoas. Esses dados abrangem vulnerabilidades coletadas de centenas de organizações e mais de 100.000 aplicativos e APIs reais. Os 10 principais itens são selecionados e priorizados de acordo com esses dados de prevalência, em combinação com estimativas consensuais de explorabilidade, detectabilidade e impacto. As top 10 vulnerabilidades que daremos foco nesse relatório são: A01:2021-Broken Access Control: Restrições sobre o que os usuários autenticados têm permissão para fazer geralmente não são aplicadas corretamente. Os invasores podem explorar essas falhas para acessar funcionalidades e/ou dados não autorizados, como acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso etc. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor • CWE-201: Exposure of Sensitive Information Through Sent Data • CWE-352: Cross-Site Request Forgery. Resultado: Em conformidade A02:2021-Cryptographic Failures: Anteriormente conhecida como Exposição de dados confidenciais, que é mais um sintoma amplo do que uma causa raiz, o foco está nas falhas relacionadas à criptografia (ou falta dela). O que muitas vezes leva à exposição de dados confidenciais. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-259: Use of Hard-coded Password • CWE-327: Broken or Risky Crypto Algorithm • CWE-331 Insufficient Entropy. Resultado: Em conformidade
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 5 Teste de Intrusão em aplicação WEB A03:2021-Injection: Falhas de injeção, como SQL, NoSQL, OS e LDAP, ocorrem quando dados não confiáveis são enviados para um intérprete como parte de um comando ou consulta. Os dados hostis do invasor podem induzir o intérprete a executar comandos não intencionais ou acessar dados sem a devida autorização. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-79: Cross-site Scripting • CWE-89: SQL Injection • CWE-73: External Control of File Name or Path. Resultado: Em conformidade A04:2021- Insecure Design: Concentra-se nos riscos relacionados a falhas de design e arquitetura, com uma chamada para mais uso de modelagem de ameaças, padrões de design seguros e arquiteturas de referência. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-209: Generation of Error Message Containing Sensitive Information • CWE-256: Unprotected Storage of Credentials • CWE-501: Trust Boundary Violation, e CWE-522: Insufficiently Protected Credentials. Resultado: Em conformidade A05:2021-Security Misconfiguration: A configuração incorreta da segurança é o problema mais comum. Isso geralmente resulta de configurações padrão inseguras, incompletas ou ad hoc, armazenamento em nuvem aberta, cabeçalhos HTTP configurados incorretamente e mensagens de erro detalhadas que contêm informações confidenciais. Não apenas todos os sistemas operacionais, estruturas, bibliotecas e aplicativos devem ser configurados com segurança, mas devem ser corrigidos / atualizados em tempo hábil. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-16 Configuration • CWE-611 Improper Restriction of XML External Entity Reference. Resultado: Em conformidade A06:2021-Vulnerable and Outdated Components: Componentes reconhecidamente vulneráveis ou sem suporte serão avaliados e mapeados para então serem explorados ou apontados durante o teste de intrusão. Está inclusa nesta categoria a Common Weakness Enumerations (CWE): • CWE-1104: Use of Unmaintained Third-Party Components. Resultado: Em conformidade A07:2021-Identification and Authentication Failures: As funções de aplicativos relacionadas à autenticação e ao gerenciamento de sessões são frequentemente implementadas incorretamente, permitindo que os invasores comprometam senhas, chaves ou tokens de sessão ou explorem outras falhas de implementação para assumir a identidade de outros usuários temporária ou permanentemente.
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 6 Teste de Intrusão em aplicação WEB Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-297: Improper Validation of Certificate with Host Mismatch • CWE-287: Improper Authentication • CWE-384: Session Fixation. Resultado: Em conformidade A08:2021-Software and Data Integrity Failures: As falhas de software e integridade de dados estão relacionadas ao código e à infraestrutura que não protegem contra violações de integridade. Um exemplo disso é quando um aplicativo depende de plug-ins, bibliotecas ou módulos de fontes não confiáveis, repositórios e redes de entrega de conteúdo (CDNs). Um pipeline de CI / CD inseguro pode apresentar o potencial de acesso não autorizado, código malicioso ou comprometimento do sistema. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-829: Inclusion of Functionality from Untrusted Control Sphere • CWE-494: Download of Code Without Integrity Check • CWE-502: Deserialization of Untrusted Data. Resultado: Em conformidade A09:2021-Security Logging and Monitoring Failures: O registro e o monitoramento insuficientes, juntamente com a integração ausente ou ineficaz com a resposta a incidentes, permitem que os atacantes continuem atacando os sistemas, mantenham a persistência, façam o giro para mais sistemas e violem, extraiam ou destruam dados. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é superior a 200 dias, geralmente detectados por partes externas, em vez de processos ou monitoramento interno. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-117 Improper Output Neutralization for Logs • CWE-223 Omission of Security-relevant Information • CWE-532 Insertion of Sensitive Information into Log File. Resultado: Em conformidade A10:2021-Server-Side Request Forgery (SSRF): As falhas de SSRF ocorrem sempre que um aplicativo da web busca um recurso remoto sem validar a URL fornecida pelo usuário. Ele permite que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede (ACL). Resultado: Em conformidade 4. Modelo de Teste O teste de intrusão foi realizado no modelo Gray Box, onde simulamos um teste de intrusão com uso de credenciais para testar o aplicativo em execução remota. Simulamos um ataque real, com objetivo de obter o máximo de informações sobre a aplicação e possíveis vulnerabilidades, além da escalabilidade delas.
eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 7 Teste de Intrusão em aplicação WEB 5. Auditor responsável pelo projeto Alan Sanches possui certificações internacionais de Hacker Ético (CEH) pela EC-CONCIL, Security+ pela CompTIA, Offensive Security Certified Professional (OSCP) e ISO/IEC ISO 27002, consultor em Segurança da Informação e possui 25 anos de experiência na área de Infraestrutura e Segurança Ofensiva. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Mind the Sec, Campus Party, LatinoWare, FLISOL, RoadSec, Hacking Day e FISL. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações, em Inteligência Estratégica, Master Business Information Security (MBIS) e Neurociência & Comportamento Humano. Atualmente ministra treinamentos de Técnicas de Intrusão e Defesa Cibernética para a Polícia Civil do estado de São Paulo e treina equipes do Exército, Divisão de Inteligência da Marinha e ABIN. LinkedIn: https://www.linkedin.com/in/alansanches/

Recomendados

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Alcyon Ferreira de Souza Junior, MSc
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceAlexandre Jesus Marcolino
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Saia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurançaSaia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurançaminastestingconference
 

Recomendados

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Alcyon Ferreira de Souza Junior, MSc
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceAlexandre Jesus Marcolino
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Saia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurançaSaia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurançaminastestingconference
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebMatheus Fidelis
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploitsNaraBarros10
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdfÉtica NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdfInsttLcioEvangelista
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024E-Commerce Brasil
 

Mais conteúdo relacionado

Semelhante a WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf

Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebMatheus Fidelis
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploitsNaraBarros10
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 

Semelhante a WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf (20)

Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação Web
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometem
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 

Último

Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdfÉtica NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdfInsttLcioEvangelista
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024E-Commerce Brasil
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?E-Commerce Brasil
 
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Welldonelily Skype
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaE-Commerce Brasil
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...E-Commerce Brasil
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...E-Commerce Brasil
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasE-Commerce Brasil
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensLuizPauloFerreira11
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...E-Commerce Brasil
 
66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptxLEANDROSPANHOL1
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceE-Commerce Brasil
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...E-Commerce Brasil
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?E-Commerce Brasil
 
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)E-Commerce Brasil
 
representações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxrepresentações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxCarladeOliveira25
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoE-Commerce Brasil
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoE-Commerce Brasil
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...E-Commerce Brasil
 

Último (19)

Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdfÉtica NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
Ética NO AMBIENTE DE TRABALHO, fundamentosdas relações.pdf
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
 
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
Products Catalogue-01-Electronics thin wall heat shrink tubing wire and cable...
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
 
66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
 
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
 
representações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptxrepresentações cartograficas - 1 ano.pptx
representações cartograficas - 1 ano.pptx
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operação
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelização
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
 

WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf

  • 1. Relatório Teste de intrusão em aplicação WEB CLASSIFICAÇÃO: RESTRITO Realizado por Data: Auditor: Empresa: Revisor: Empresa: Versão: 28/06/2022 Vinícius Leão eSecurity Alan Sanches eSecurity 1.0
  • 2. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 2 Teste de Intrusão em aplicação WEB Sumário 1. Introdução............................................................................................................... 3 1.1. Dados do alvo................................................................................................................ 3 2. Conclusão do teste de intrusão ............................................................................... 3 3. Metodologia utilizada.............................................................................................. 3 3.1. OWASP Top Ten 2021 Project para pentest WEB......................................................... 4 4. Modelo de Teste...................................................................................................... 6 5. Auditor responsável pelo projeto............................................................................ 7
  • 3. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 3 Teste de Intrusão em aplicação WEB 1. Introdução Este relatório tem como objetivo apresentar os riscos sistêmicos em aplicação web e seu impacto no negócio, em teste de intrusão e análise de vulnerabilidades que foram realizados entre os dias 09 de maio de 2022 a 20 de junho de 2022. 1.1. Dados do alvo Dados do Cliente: • Razão Social: VERIFACT TECNOLOGIA LTDA • CNPJ: 32.797.434/0001-50 Target: • https://app.verifact.com.br/ Credenciais: E-Mail: Tipo: testmaster@XXXXXX.com.br testegestor@XXXXXX.com.br Master Subgestor da master testeconvidado@XXXXXX.com.br testecomum@XXXXXX.com.br Convidado da master Comum 2. Conclusão do teste de intrusão Foram realizados diversos testes de segurança e tentativas de obtenção de informações ou dados de acessos restritos ou limitados, simulando um ataque real a partir da WEB. Nesta análise foram encontradas diversas proteções de segurança para evitar ataques simples e sofisticados no processo de coleta de informações fornecida pela plataforma, bem como em outros pontos do ambiente. Dentre os testes realizados priorizamos ataques que consistiam na tentativa de manipulação do processo de coleta de dados e do material após a preservação, tais quais se encontram disponíveis na internet no momento do registro. Também buscamos sistematicamente manipular as informações do ambiente WhatsApp Desktop durante a coleta de informações, além das tentativas de alterações, manipulações ou falsificação destes dados, afins de forjar evidências. Não foram encontradas vulnerabilidades conhecidas no ambiente, baseada na metodologia apresentada abaixo. 3. Metodologia utilizada A metodologia utilizada para este teste de intrusão em aplicações WEB foi baseada no guia público e colaborativo “OWASP Testing Guide versão 4”. O OWASP Testing Guide v4 inclui uma estrutura de testes de penetração baseada nas “melhores práticas”, que podem ser implementadas em testes de intrusão em ambiente web. Ele também inclui um guia de teste de penetração de “baixo nível” que descreve técnicas para testar os problemas mais comuns em aplicativos e serviços Web. Hoje, o Testing Guide é o
  • 4. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 4 Teste de Intrusão em aplicação WEB padrão para realizar o Teste de penetração de aplicativos da Web, e muitas empresas em todo o mundo o adotaram. Para obter detalhes sobre a metodologia aplicada, visite a página no link abaixo: https://www.owasp.org/index.php/OWASP_Testing_Project 3.1. OWASP Top Ten 2021 Project para pentest WEB Durante a bateria de testes, iremos abranger centenas de possibilidades para encontrar e / ou provocar vulnerabilidades, além de coletar o máximo de informações possíveis sobre a aplicação e o ambiente que a hospeda, e então, analisar os riscos que essas informações poderão trazer ao negócio. Será exercido maior esforço dos 10 grupos de vulnerabilidades mais comuns nos últimos anos, esse conjunto de 10 vulnerabilidades representam um número substancial de todas as vulnerabilidades em aplicações web reportadas. O OWASP Top 10-2021 é baseado principalmente em mais de 40 envios de dados de empresas especializadas em segurança de aplicativos e uma pesquisa do setor que foi concluída por mais de 500 pessoas. Esses dados abrangem vulnerabilidades coletadas de centenas de organizações e mais de 100.000 aplicativos e APIs reais. Os 10 principais itens são selecionados e priorizados de acordo com esses dados de prevalência, em combinação com estimativas consensuais de explorabilidade, detectabilidade e impacto. As top 10 vulnerabilidades que daremos foco nesse relatório são: A01:2021-Broken Access Control: Restrições sobre o que os usuários autenticados têm permissão para fazer geralmente não são aplicadas corretamente. Os invasores podem explorar essas falhas para acessar funcionalidades e/ou dados não autorizados, como acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso etc. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor • CWE-201: Exposure of Sensitive Information Through Sent Data • CWE-352: Cross-Site Request Forgery. Resultado: Em conformidade A02:2021-Cryptographic Failures: Anteriormente conhecida como Exposição de dados confidenciais, que é mais um sintoma amplo do que uma causa raiz, o foco está nas falhas relacionadas à criptografia (ou falta dela). O que muitas vezes leva à exposição de dados confidenciais. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-259: Use of Hard-coded Password • CWE-327: Broken or Risky Crypto Algorithm • CWE-331 Insufficient Entropy. Resultado: Em conformidade
  • 5. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 5 Teste de Intrusão em aplicação WEB A03:2021-Injection: Falhas de injeção, como SQL, NoSQL, OS e LDAP, ocorrem quando dados não confiáveis são enviados para um intérprete como parte de um comando ou consulta. Os dados hostis do invasor podem induzir o intérprete a executar comandos não intencionais ou acessar dados sem a devida autorização. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-79: Cross-site Scripting • CWE-89: SQL Injection • CWE-73: External Control of File Name or Path. Resultado: Em conformidade A04:2021- Insecure Design: Concentra-se nos riscos relacionados a falhas de design e arquitetura, com uma chamada para mais uso de modelagem de ameaças, padrões de design seguros e arquiteturas de referência. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-209: Generation of Error Message Containing Sensitive Information • CWE-256: Unprotected Storage of Credentials • CWE-501: Trust Boundary Violation, e CWE-522: Insufficiently Protected Credentials. Resultado: Em conformidade A05:2021-Security Misconfiguration: A configuração incorreta da segurança é o problema mais comum. Isso geralmente resulta de configurações padrão inseguras, incompletas ou ad hoc, armazenamento em nuvem aberta, cabeçalhos HTTP configurados incorretamente e mensagens de erro detalhadas que contêm informações confidenciais. Não apenas todos os sistemas operacionais, estruturas, bibliotecas e aplicativos devem ser configurados com segurança, mas devem ser corrigidos / atualizados em tempo hábil. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-16 Configuration • CWE-611 Improper Restriction of XML External Entity Reference. Resultado: Em conformidade A06:2021-Vulnerable and Outdated Components: Componentes reconhecidamente vulneráveis ou sem suporte serão avaliados e mapeados para então serem explorados ou apontados durante o teste de intrusão. Está inclusa nesta categoria a Common Weakness Enumerations (CWE): • CWE-1104: Use of Unmaintained Third-Party Components. Resultado: Em conformidade A07:2021-Identification and Authentication Failures: As funções de aplicativos relacionadas à autenticação e ao gerenciamento de sessões são frequentemente implementadas incorretamente, permitindo que os invasores comprometam senhas, chaves ou tokens de sessão ou explorem outras falhas de implementação para assumir a identidade de outros usuários temporária ou permanentemente.
  • 6. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 6 Teste de Intrusão em aplicação WEB Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-297: Improper Validation of Certificate with Host Mismatch • CWE-287: Improper Authentication • CWE-384: Session Fixation. Resultado: Em conformidade A08:2021-Software and Data Integrity Failures: As falhas de software e integridade de dados estão relacionadas ao código e à infraestrutura que não protegem contra violações de integridade. Um exemplo disso é quando um aplicativo depende de plug-ins, bibliotecas ou módulos de fontes não confiáveis, repositórios e redes de entrega de conteúdo (CDNs). Um pipeline de CI / CD inseguro pode apresentar o potencial de acesso não autorizado, código malicioso ou comprometimento do sistema. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-829: Inclusion of Functionality from Untrusted Control Sphere • CWE-494: Download of Code Without Integrity Check • CWE-502: Deserialization of Untrusted Data. Resultado: Em conformidade A09:2021-Security Logging and Monitoring Failures: O registro e o monitoramento insuficientes, juntamente com a integração ausente ou ineficaz com a resposta a incidentes, permitem que os atacantes continuem atacando os sistemas, mantenham a persistência, façam o giro para mais sistemas e violem, extraiam ou destruam dados. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é superior a 200 dias, geralmente detectados por partes externas, em vez de processos ou monitoramento interno. Estão inclusas nesta categoria as Common Weakness Enumerations (CWEs): • CWE-117 Improper Output Neutralization for Logs • CWE-223 Omission of Security-relevant Information • CWE-532 Insertion of Sensitive Information into Log File. Resultado: Em conformidade A10:2021-Server-Side Request Forgery (SSRF): As falhas de SSRF ocorrem sempre que um aplicativo da web busca um recurso remoto sem validar a URL fornecida pelo usuário. Ele permite que um invasor force o aplicativo a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall, VPN ou outro tipo de lista de controle de acesso à rede (ACL). Resultado: Em conformidade 4. Modelo de Teste O teste de intrusão foi realizado no modelo Gray Box, onde simulamos um teste de intrusão com uso de credenciais para testar o aplicativo em execução remota. Simulamos um ataque real, com objetivo de obter o máximo de informações sobre a aplicação e possíveis vulnerabilidades, além da escalabilidade delas.
  • 7. eSecurity Serviços em Segurança Cibernética EIRELI CNPJ: 19.023.137/0001-90 Telefone: (11) 3145-5860 E-mail: contato@eSecurity.com.br Avenida Paulista, 1439 1° andar, cj 12 - Bela Vista - São Paulo - SP 7 Teste de Intrusão em aplicação WEB 5. Auditor responsável pelo projeto Alan Sanches possui certificações internacionais de Hacker Ético (CEH) pela EC-CONCIL, Security+ pela CompTIA, Offensive Security Certified Professional (OSCP) e ISO/IEC ISO 27002, consultor em Segurança da Informação e possui 25 anos de experiência na área de Infraestrutura e Segurança Ofensiva. Ministra treinamentos e palestras sobre Segurança Ofensiva, Defensiva, Ética Hacker e Técnicas de Intrusão nos maiores eventos de Tecnologia do Brasil como: Mind the Sec, Campus Party, LatinoWare, FLISOL, RoadSec, Hacking Day e FISL. É Tecnólogo em Redes de Computadores e possui 3 Pós-Graduações, em Inteligência Estratégica, Master Business Information Security (MBIS) e Neurociência & Comportamento Humano. Atualmente ministra treinamentos de Técnicas de Intrusão e Defesa Cibernética para a Polícia Civil do estado de São Paulo e treina equipes do Exército, Divisão de Inteligência da Marinha e ABIN. LinkedIn: https://www.linkedin.com/in/alansanches/