Prueba de penetración estándar - Nethemba

SEGURIDAD DE LA APLICACIÓN

Prueba de penetración estándar

01
Adecuado para:
  • Aplicación web y sitios web pequeños y sencillos
  • Aplicación web que no proporciona operaciones críticas de seguridad (por ejemplo, transacciones financieras)
Tamaño del informe:
3-10 páginas
Tiempo de prueba:
3-4 días

El objetivo de la prueba de penetración estándar es revelar la mayor cantidad posible de vulnerabilidades de seguridad más críticas en la aplicación web / servidor web durante 3 días, explotarlos y obtener un acceso privilegiado si es posible.

La prueba consiste en:

  • Recopilación de información – se identifica y documenta la información sobre el sistema de destino incluyendo la versión del servidor web, sus módulos, el marco de programación utilizado, WAF, identificación de todos los puntos de entrada
  • Enumeración y asignación de vulnerabilidades – se utilizan métodos y técnicas intrusivas (solicitudes HTTP especialmente diseñadas) para identificar vulnerabilidades potenciales (se utilizan escáneres especiales de vulnerabilidades de aplicaciones web de y proxies de inyección de fallas)
  • Explotación – intentar obtener acceso a través de las vulnerabilidades identificadas en la fase anterior. El objetivo es obtener acceso de usuario y privilegiado (administrador) a la aplicación o los sistemas operativos (se utilizan scripts personalizados de explotación o marcos de explotación)

Características:

  • revela las vulnerabilidades más graves (inyecciones de SQL / LDAP, XSS / CSRF, desbordamientos de búfer, fallas lógicas de negocios, omisión de autenticación, inclusiones de archivos locales)
  • debido al hecho de que se usa una inspección manual, la prueba es altamente recomendada cuando sus escáneres de seguridad automatizados ya han fallado
  • informe técnico con resumen ejecutivo, todas las vulnerabilidades reveladas, niveles de riesgo y recomendaciones