Solução sob medida para sua organização. Clavis Segurança da Informação.


Auditoria de Segurança em Aplicações Web

O serviço Auditoria de Segurança em Aplicação Web visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão. A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação da existência de boas práticas de segurança no desenvolvimento e manutenção do site.

Auditoria de Segurança em Aplicações Web - Descubra ameaças e vulnerabilidades através de simulações de ataque em aplicações. - Saiba mais +


Auditoria Teste de Invasão

Testes de invasão (penetration tests, ou simplesmente pentests) são simulações controladas de um ataque real a uma rede, sistema ou ferramenta, visando avaliar a segurança do mesmo. O serviço de Auditoria Teste de Invasão visa identificar ameaças e vulnerabilidades através da realização de ações que simulem ataques aos ativos em questão.

Auditoria Teste de Invasão - Descubra a resistência dos seus ativos a auditorias teste de invasão - Saiba mais +


Academia Clavis

Setor de treinamentos da Clavis, oferta treinamentos especializados em segurança da informação. Com professores qualificados, renomadas parcerias internacionais e metodologia eficiente, os treinamentos da Academia Clavis destacam-se por fazer com que o aluno coloque em prática em seu ambiente de trabalho tudo o que foi aprendido dentro de sala de aula.

Cursos Presenciais em Si - Cursos práticos e certificações internacionais é na Academia Clavis Segurança da Informação - Saiba mais +
Seta Clavis Segurança da Informação Soluções »Auditoria de Segurança em Aplicações Web

Auditoria de Segurança em Aplicações Web

Auditoria de Segurança em Aplicações Web

Objetivo

O serviço Auditoria de Segurança em Aplicações Web visa identificar ameaças e vulnerabilidades através da realização de simulações de ataque a aplicações web.

OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web from Clavis Segurança da Informação

Detalhamento do Serviço

Antes de qualquer atividade a ser realizada, deverá ser assinado um acordo formal de realização do serviço entre as partes envolvidas, a fim de eximir a contratada de responsabilidades legais associadas à quaisquer problemas ou complicações oriundos da execução do serviço solicitado. Será também assinado um Acordo de Confidencialidade (Non-Disclosure Agreement - NDA) entre as partes, para proteger o Cliente contra a divulgação não autorizada de quaisquer resultados ou dados identificados pela contratada durante a realização do serviço.

Detalhamento das Atividades

A análise consiste na varredura do site em busca de vulnerabilidades conhecidas e da verificação de conformidade com boas práticas de segurança no desenvolvimento e manutenção do site, segundo as normas internacionalmente aceitas do OWASP Testing Guide. Abaixo veremos a descrição dos principais itens que serão verificados no site:

Cross Site Scripting (XSS)
A aplicação envia ao browser dados fornecidos pelo usuário sem o devido tratamento. Pode ocasionar execução de código arbitrário no browser da vítima, roubo de sessão, alteração de sites e até downloads de artefatos maliciosos.

Injeção de Código
Dados enviados pelos usuários são tratados (interpretados/executados) pela aplicação sem a validação adequada. Possibilita a execução de instruções (na maioria das vezes maliciosas) diferentes das esperadas pela aplicação.

Inclusão Remota de Arquivos (RFI)
O usuário pode passar parâmetros para aplicação que consistem em nome de arquivos para referência ou upload. Possibilita a inserção de arquivos maliciosos no contexto da aplicação.

Referência direta a objetos
Exposição de referências a objetos internos da aplicação. Possibilita manipular referência direta para objetos arbitrários e contornar mecanismos de autenticação.

Vazamento de Informação
Exposição inadvertida de informações sobre a aplicação e o servidor que a hospeda. Possibilita a obtenção de informações sensíveis para elaboração de ataques contra a aplicação.

Gerenciamento de Sessões
Proteção de tokens, chaves e/ou identificadores de sessão feita de maneira insuficiente. Possibilita captura de credenciais e roubo de sessão.

Canais de Comunicação
Exposição de dados sensíveis na comunicação entre servidores e clientes. Possibilita a captura de informações trocadas entre o cliente e a aplicação podendo culminar em roubo de informações sensíveis e credenciais.

Através da avaliação do comportamento da aplicação mediante esses testes é possível obter um diagnóstico preciso sobre a segurança da mesma. Um modelo de maturidade será elaborado para orientar o desenvolvimento da aplicação, assim como serão recomendadas boas práticas de programação segura.

Produtos Gerados

Como produto final, o cliente receberá um relatório técnico detalhado e uma apresentação executiva sobre os testes executados e seus resultados, assim como recomendações de medidas de correção.

Além dos produtos listados acima, também farão parte do escopo dos serviços a serem executados pela Clavis os seguintes itens:

  • O registro formal de todas as reuniões, entrevistas e decisões tomadas ao longo do projeto.
  • Atualização de toda a documentação do projeto ao longo de sua execução, conforme padrão do Cliente ou proposto pela Clavis.
  • Utilização de metodologias e ferramentas reconhecidas internacionalmente.
  • Acesso a canal de comunicação dedicado operando em regime de sobre-aviso 24x7x365 para o tratamento de quaisquer eventualidades ou necessidade de contato.

Entre em contato conosco agora e solicite um orçamento personalizado para sua demanda.

Fale Conosco Fale Conosco | Mapa do site Mapa do Site | Feed RSS Clavis Segurança da Informação RSS | Twitter Clavis Segurança da Informação Twitter | SlideShare | Facebook | Youtube | Linkedin | Webinar
A Empresa | Soluções | Cursos a Distância | Treinamento Presencial | Newsletter | Clientes | Blog Corporativo


Praia do Flamengo, 66 - Bloco B - salas 1110, 1111 e 1112 - Flamengo
Rio de Janeiro - RJ - Brasil - CEP 22210-030
+55 (21) 2561-0867 | +55 (21) 2210-6061 | +55 (21) 99696-5598

Av. Paulista, 1765 - Conj. 72 - sala 726 - Bela Vista
São Paulo - SP - Brasil - CEP 01311-930
+55 (11) 2450-7805
Imagens de solução
Sob a Licença Creative Commons - Alguns direitos reservados