Sabia que o modelo KEEP-IT-SECURE 24 providencia serviços profissionais continuados ao nível dos Testes de Intrusão, mas mantendo os custos ao nível de um único teste anual?
Consulte os nossos planos.
Os testes efetuados no âmbito do serviço KEEP-IT-SECURE-24, têm como alvo os sistemas e aplicações dos nossos clientes, e são levados a cabo por uma equipa de profissionais qualificados e certificados para o efeito.
As atividades de testes que efetuamos têm como objetivo testar os níveis de segurança e identificar potenciais vulnerabilidades, utilizando ferramentas e metodologias similares aos potenciais atacantes.
Entre outras, desenvolvemos as seguintes atividades: | |
---|---|
FootPrinting | Recolha de informação sobre a infraestrutura com o objetivo de encontrar vulnerabilidades que permitam efetuar a intrusão ou obtenção de conhecimento sobre a infraestrutura que facilite o processo de intrusão |
Scanning and Enumeration | Identificação de equipamentos, serviços, aplicações e respetivas vulnerabilidades potenciais |
Vulnerability Analysis | Análise de vulnerabilidades potenciais, identificando falsos positivos e avaliando a viabilidade da utilização das mesmas, para a exploração da infraestrutura e aplicações |
Vulnerability Exploitation | Exploração de vulnerabilidades com o intuito de efetuar a prova de conceito e de aferir o real impacto da vulnerabilidade na infraestrutura e aplicações |
Privilege Escalation | Obtenção de privilégios adicionais, com o intuito de aferir o real impacto da vulnerabilidade na infraestrutura e aplicações |
Information Gathering | Levantamento de informação sobre a aplicação web, identificando entry points, tecnologias, e códigos de erro |
Configuration Management Testing | Identificar e testar: SSL/TLS, acesso a Bases de Dados, configurações de infraestrutura e aplicações, processamento de extensões, ficheiros redundantes disponíveis para download, interfaces de administração, métodos de HTTP e XST |
Authentication Testing | Identificar e testar: transporte de credenciais sobre canal cifrado, enumeração de utilizadores, utilizadores adivinháveis, bruteforce (passwords), subversão do esquema de autenticação, recuperação de passwords, logout e gestão de cache, CAPTCHA, race conditions |
Session Management | Identificar e testar: esquema de gestão de sessões, atributos de cookies, fixação de sessões, CSRF |
Authorization Testing | Identificar e testar: path traversal, ultrapassagem do esquema de autorização, escalamento de privilégios |
Business Logic Testing | Analisar e testar a lógica de negócio da aplicação |
Data Validation Testing | Identificar e testar: XSS (reflected/stored/DOM), Cross Site Flashing, falhas de injeção (SQL/LDAP/ORM/XML/SSI/Xpath/IMAP/SMTP/Código/Comandos de sistema), buffer overflows, vulnerabilidades incubadas, HTTP spliting/smuggling, HPP (HTTP Parameter Pollution) |
Denial of Service Testing | Identificar e testar vulnerabilidades que possam causar negação de serviço, entre as quais SQL wildcards, bloqueio de contas de utilizadores, buffer overflows, alocação de objetos pelo utilizador, utilização de input de utilizadores em controlo de ciclos, escrita de input do utilizador para o disco |
Web Services Testing | Identificar informação sobre WebServices, Testar WSDL, estruturas XML, conteúdos XML, HTTP GET/REST, anexos SOAP, repetições (replay) |
AJAX Testing | Identificar e testar vulnerabildades em AJAX |
Todas as vulnerabilidades identificadas, são reportadas através da nossa plataforma de gestão para lhe possibilitar um processo ágil e sustentado de resolução das vulnerabilidades.