[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
1. Auditoria e Análise de
Vulnerabilidades em
Sistemas WEB
AUTOR: PETTER ANDERSON LOPES
2. Quem sou?
Desenvolvedor Pleno na Metadados Assessoria e Sistemas.
Consultor de Segurança da Informação com especialização em Investigação
e Perícia em Computação Forense.
Consultor de Segurança Ofensiva com especialização em Testes de Invasão.
3. Fundamentos de Segurança da
Informação
Conceituando pilares da segurança
Necessidade de políticas
7. Metodologia
Pré-acordo de interação
Nessa seção são definidas regras básicas , escopo do teste, pontos de contato e quais as metas desse acordo de
interação.
Coletas inteligentes de informação
Essa fase deve ser muito bem feita. É uma das principais etapas. Dessa forma já teremos uma noção do resultado do
PenTest. O PenTester constrói uma possível imagem da empresa, uma visão mais clara sobre os aspectos da mesma.
Modelagem de ameaças
Nessa etapa fornece ao PenTester e a organização documentação clara e relevante de ameaças bem como os ativos e os
seus valores. A modelagem de ameaças é realizada em torno de duas linhas centrais – o atacante e os ativos da
empresa. Da perspectiva do atacante, todas as ameaças relevantes são identificadas, pesquisadas, documentadas, e sua
capacidade são totalmente analisadas e documentadas.
Análise de Vulnerabilidades
Pode fornecer valor para a organização, como informações vivas, que podem ser atualizadas com as ameaças mais
relevantes, possíveis vulnerabilidades que serão utilizadas para a prática de gerenciamento de riscos.
8. Metodologia
Exploração
A seção de exploração inclui o ataque real execução contra a
organização.
Pós-Exploração
Os motivos dessa fase é determinar o valor dos sistemas
comprometidos. Esse valor é determinado pela sensibilidade dos dados
armazenados nos ativos comprometidos.
Relatório
Finalmente o PenTest deve ser concluído com um relatório claro e útil
para a organização.
9. Pilares
DISPONIBILIDADE – garantir que a informação esteja sempre disponível;
INTEGRIDADE – garantir a exatidão da informação (que a informação não seja
modificada);
CONFIDENCIALIDADE – garantir que a informação seja acessada somente por pessoas
autorizadas;
AUTENTICIDADE – garantir que a informação é autêntica;
NÃO REPUDIO – garantir que a pessoa não negue ter assinado ou criado a informação;
OBS: O não repudio fornece provas de que um usuário realizou uma determinada ação,
como transferir dinheiro, autorizar uma compra, ou enviar uma mensagem.
Fonte: http://www.cursosdeinformaticabasica.com.br/quais-sao-os-principios-basicos-da-seguranca-da-informacao/
10. OWASP TOP 10/2013
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards