El objetivo de la prueba de penetración estándar es revelar la mayor cantidad posible de vulnerabilidades de seguridad más críticas en la aplicación web / servidor web durante 3 días, explotarlos y obtener un acceso privilegiado si es posible.

La prueba consiste en:

• Recopilación de información – se identifica y documenta la información sobre el sistema de destino incluyendo la versión del servidor web, sus módulos, el marco de programación utilizado, WAF, identificación de todos los puntos de entrada
• Enumeración y asignación de vulnerabilidades – se utilizan métodos y técnicas intrusivas (solicitudes HTTP especialmente diseñadas) para identificar vulnerabilidades potenciales (se utilizan escáneres especiales de vulnerabilidades de aplicaciones web de y proxies de inyección de fallas)
• Explotación – intentar obtener acceso a través de las vulnerabilidades identificadas en la fase anterior. El objetivo es obtener acceso de usuario y privilegiado (administrador) a la aplicación o los sistemas operativos (se utilizan scripts personalizados de explotación o marcos de explotación)

Características:

• revela las vulnerabilidades más graves (inyecciones de SQL / LDAP, XSS / CSRF, desbordamientos de búfer, fallas lógicas de negocios, omisión de autenticación, inclusiones de archivos locales)
• debido al hecho de que se usa una inspección manual, la prueba es altamente recomendada cuando sus escáneres de seguridad automatizados ya han fallado
• informe técnico con resumen ejecutivo, todas las vulnerabilidades reveladas, niveles de riesgo y recomendaciones