Pentest (Penetration Test)

O PenTest (Teste de Invasão) é um serviço que tem por objetivo identificar vulnerabilidades que não são analisadas por ferramentas automatizadas, tendo em vista as particularidades da aplicação. Por meio de uma gama de testes manuais desenvolvidos pela nossa equipe de analistas de segurança, pontuamos o nível da aplicação web em relação ao escopo escolhido pelo cliente. O foco do PenTest é a aplicação web e todos os testes são feitos de forma manual - realizados por um analista de segurança da Site Blindado, que seguirá todas as recomendações da OWASP, entidade que estuda as principais vulnerabilidades de aplicações web. Como resultado, o administrador da aplicação web obtém um nível muito maior de segurança ao tomar conhecimento de reais problemas como, por exemplo, brechas de segurança que permitem explorar seus bancos de dados (com informações dos clientes), tendo acesso a recomendações de melhorias imediatas.

Abaixo temos alguns dos escopos pré-definidos pela Site Blindado - e vale sempre lembrar que caso o cliente tenha alguma necessidade especial é possível a criação de um escopo personalizado, dado que o trabalho é manual e personalizado.

Ícone de lupa procurando bug

PenTest Nível I

Indicado para: Essa solução é indicada para empresas que utilizam sistemas com um nível de complexidade médio.

Nesse primeiro nível, o cliente terá acesso a um teste de invasão com diversas validações feitas de forma manual. Realizados no modelo BlackBox - sem informações como, por exemplo, de usuário e senha - esse teste funciona apenas para clientes que não tenham ambientes logados. Por se tratar de um teste manual, ele é totalmente customizável.

Nesse plano são verificadas: falhas de injeção (Injection), Cross-Site Scripting (XSS), erros de configuração, vulnerabilidades em cookies, componentes vulneráveis, certificados digitais, headers de segurança, vazamento de dados sensíveis, autorização, referência insegura e direta a objetos, redirecionamentos e encaminhamentos inválidos, LFI e RFI.

COMPRAR PENTEST
Ícone de lupa procurando bug

PenTest Nível II

Indicado para: Esse teste é recomendado para aquelas empresas com grande preocupação quanto à segurança dos dados, possíveis falhas de segurança, vazamento de dados, acesso a informações confidenciais e sobre a reputação da marca.

Nesse segundo nível, além dos serviços inclusos no nível I, aumenta-se consideravelmente a complexidade das vulnerabilidades que são buscadas como, por exemplo, falhas nos fluxos lógicos da aplicação. Somado ao escopo do nível 1, também está incluso nesse plano a realização de um reteste após as correções. Com isso, a empresa consegue validar se as correções que foram aplicadas realmente solucionaram as falhas de segurança que foram encontradas. Igual ao nível I, esse teste é realizado no modelo BlackBox (sem informações privilegiadas). Sendo assim, funciona apenas para clientes que não tenham ambientes logados.

Nesse plano são verificadas: falhas de injeção (Injection), Cross-Site Scripting (XSS), erros de configuração, vulnerabilidades em cookies, componentes vulneráveis, certificados digitais, headers de segurança, vazamento de dados sensíveis, autorização, referência insegura e direta a objetos, redirecionamentos e encaminhamentos inválidos, LFI e RFI, falhas no fluxo lógico da aplicação, erros criptográficos e Cross-Site Request Forgery.

COMPRAR PENTEST
Ícone de lupa procurando bug

PenTest Nível III

Indicado para: Esse teste é indicado para empresas que buscam uma varredura de segurança bem mais profunda e específica para a sua aplicação. Além disso, é altamente recomendado para todos que tenham sistemas logados.

Esse terceiro nível vai validar todas as vulnerabilidades que são verificadas no nível II, ou seja, vulnerabilidades que têm um nível de complexidade bem alta, só que com uma grande diferença: ao invés de ser realizado em BlackBox, esse teste é feito em GreyBox. Nesse modelo, o analista de segurança terá acesso a informações como usuário e senha, fazendo com que os testes sejam mais profundos do que o nível II. Além disso, por conter informações sobre a aplicação, esse modelo é o ideal para empresas que tenham ambientes logados, ou seja, com acesso a informações restritas, e que podem cair nas mãos de pessoas mal-intencionadas.

Nesse plano são verificadas: falhas de injeção (Injection), Cross-Site Scripting (XSS), erros de configuração, vulnerabilidades em cookies, componentes vulneráveis, certificados digitais, headers de segurança, vazamento de dados sensíveis, autorização, referência insegura e direta a objetos, redirecionamentos e encaminhamentos inválidos, LFI e RFI, falhas no fluxo lógico da aplicação, erros criptográficos e Cross-Site Request Forgery (em ambiente logado).

COMPRAR PENTEST
Ícone de lupa procurando bug

PenTest Mobile

Indicado para: desenvolvedores de aplicativos mobile.

O PenTest Mobile é um teste de aplicação voltado a aplicativos nativos para as plataformas Android e iOS. Através desse produto, a empresa conseguirá ter uma avaliação de segurança para o aplicativo que o usuário instalar em seu smartphone.

Esse teste consiste na diminuição da superfície de ataque - locais de aplicação que podem ser alvos de ataques - abordando, por todos os ângulos possíveis, as fraquezas apresentadas. Os testes realizados nessa modalidade apresentam um alto nível de complexidade e profundidade que serão conduzidos manualmente por um analista sênior visando uma cobertura ampla e minuciosa da aplicação em questão.

A Site Blindado está alinhada com a evolução dos devices - em todos os tipos de plataformas. Por isso, acompanhamos nossos parceiros em todas as suas necessidades de segurança, fazendo com que eles tenham maior credibilidade perante o seu consumidor.

COMPRAR PENTEST
Nível do PenTest Nível I Nível II Nível III
Validação manual de falhas de injeção (Injection) sim sim sim
Validações manuais e automatizadas de Cross-Site Scripting (XSS) sim sim sim
Validações automatizadas de erros na configuração sim sim sim
Validação automatizada e manual das vulnerabilidades em cookies sim sim sim
Validações automatizadas de componentes vulneráveis sim sim sim
Validações automatizadas do certificado SSL sim sim sim
Validações automatizadas dos headers de segurança sim sim sim
Validação manual de vazamento de dados sensíveis sim sim sim
Validação manual de autenticação e autorização sim sim sim
Validação manual de referência insegura e direta a objetos sim sim sim
Validação manual de redirecionamentos e encaminhamentos inválidos sim sim sim
Validações manuais e automatizadas de LFI e RFI sim sim sim
Validação manual procurando por falhas no fluxo lógico não sim sim
Validação manual de erros criptográ cos na aplicação sim sim sim
Validação manual de Cross-Site Request Forgery (CSRF) sim sim sim
Validação das correções aplicadas (Reteste) não sim sim
Validações GreyBox em ambientes logados com usuário e senha não não sim

Quero Ser Blindado

Preencha o formulário a seguir para que nossa equipe possa entrar em contato com
você e oferecer a melhor solução de segurança online disponível no mercado :)

Meu site é:

Leia nosso blog e acompanhe as novidades

ACESSAR BLOG DA SITE BLINDADO