Soluções » Auditoria de Segurança em Aplicações Web

Auditoria de Segurança em Aplicações Web

• Objetivo
• Detalhamento do Serviço
• Detalhamento das Atividades
• Produtos Gerados
• Duração do Projeto

Objetivo

O serviço Auditoria de Segurança em Aplicações Web visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.

Detalhamento do Serviço

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Detalhamento das Atividades

A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação da existência de boas práticas de segurança no desenvolvimento e manutenção do site. Abaixo veremos a descrição dos principais ítens que serão verificados no site, assim como algumas das ferramentas utilizadas:

Cross Site Scripting (XSS)
A aplicação envia ao browser dados fornecidos pelo usuário sem o devido tratamento. Pode ocasionar execução de código arbitrário no browser da vítima, roubo de sessão, alteração de sites e até downloads de artefatos maliciosos.

Injeção de Código
Dados enviados pelos usuários são tratados (interpretados/executados) pela aplicação sem nenhum tipo de validação. Possibilita a execução de instruções (na maioria das vezes maliciosas) diferentes das esperadas pela aplicação.

Inclusão Remota de Arquivos (RFI)
O usuário pode passar parâmetros para aplicação que consistem em nome de arquivos para referência ou upload. Possibilita a inserção de arquivos maliciosos no contexto da aplicação.

Referência direta a objetos
Exposição de referências a objetos e implementações internas da aplicação. Possibilita a referência direta a tais objetos e possível bypass do controle de autenticação.

Vazamento de Informação
Exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda. Possibilita a obtenção de informações sensíveis para elaboração de ataques contra a aplicação.

Gerenciamento de Sessões
Proteção de tokens, chaves e/ou identificadores de sessão feita de maneira insuficiente. Possibilita captura de credenciais e roubo de sessão.

Canais de Comunicação
Exposição de dados sensíveis na comunicação entre servidores e clientes. Possibilita a captura de informações trocadas entre o cliente e a aplicação podendo culminar em roubo de informações sensíveis e credenciais. Através da avaliação do comportamento da aplicação mediante esses testes é possível obter um diagnóstico preciso sobre a segurança da mesma. Um modelo de maturidade será elaborado para orientar o desenvolvimento da aplicação, assim como serão recomendadas boas práticas de programação segur

Produtos Gerados

Como produto final o cliente receberá um relatório técnico detalhado sobre os testes executados e seus resultados, assim como recomendações de medidas de correção e uma sugestão de um detalhado Plano de Ação.

Além dos produtos listados acima, também farão parte do escopo dos serviços a serem executados pela CLAVIS os seguintes itens:

• O registro formal de todas as reuniões, entrevistas e decisões tomadas ao longo do projeto.
• Atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Clavis.
• Utilização de metodologias e ferramentas reconhecidas internacionalmente.
• Acesso a canal de comunicação dedicado operando em regime de sobre-aviso 24x7x365 para o tratamento de quaisquer eventualidades ou necessidade de contato.

Duração do Projeto

O tempo do projeto varia de acordo com o escopo e carga horária contratada para realização de todas as etapas supracitadas, assim como elaboração de relatório e apresentação de resultados.