SERVIÇO DE SEGURANÇA TI

Revisão no Código de Segurança

Aplicações Web são um componente essencial para quase todas as empresas. Elas são utilizadas por várias razões e, com muita frequência, capturam, manipulam, armazenam e transmitem dados confidenciais (informações comerciais confidenciais, dados de RH, informações financeiras, etc.).

O alto valor dos dados acessados via aplicações web aumenta a possibilidade de ser um alvo, fazendo com que as avaliações regulares sejam altamente recomendadas.

Nossa equipe utiliza uma metodologia híbrida, composta de testes automatizados e manuais, para avaliar o código-fonte de suas aplicações web em Java, PHP e .NET para identificar vulnerabilidades antes que os cibercriminosos o façam. Nossas avaliações também incluem uma fase de exploração, permitindo que nossos clientes entendam melhor os riscos que cada vulnerabilidade representa.

Nossos serviços contam com especialistas e desenvolvedores de segurança cibernética altamente qualificados, com ampla experiência em defesa e ataque.

O que nós testamos durante a Revisão de Código Seguro?

Nossa revisão de código seguro cobre parcialmente as vulnerabilidades do OWASP Top Ten e os Erros de Software Mais Perigosos do CWE / SANS TOP 25. A seguir itens, entre outros, que serão verificados:

Injection Flaws

Ameaças de origem na web, como SQL injection, OS Command Injection, e LDAP injection, que ocorrem quando os dados fornecidos pelo usuário são enviados a uma aplicação web como parte de um comando ou consulta. A carga maliciosa do invasor pode levar a aplicação web a executar comandos não intencionais ou acessar dados sem a devida autorização.

Cross Site Scripting (XSS)

Vulnerabilidades XSS ocorrem quando a aplicação web aceita entrada de usuários em uma página sem validação ou limpeza. O Cross Site Scripting permite que um invasor execute scripts no navegador da vítima, o que pode sequestrar sessões de usuários, desfigurar sites ou redirecionar o usuário para sites mal-intencionados.

Autenticação Violada

Autenticação e gestão de sessão são frequentemente projetados de forma incorreta, permitindo que criminosos cibernéticos comprometam credenciais de usuários, chaves ou tokens de sessão ou explorem outras falhas para assumir as identidades de outros usuários.

Exposição de Dados Confidenciais

Muitas aplicações web e APIs não protegem adequadamente informações confidenciais, como números de cartão de crédito, credenciais de usuários, informações sobre pacientes etc. Os cibercriminosos podem roubar ou utilizar esses dados pouco protegidos para realizar fraudes com cartões de crédito, roubo de identidade ou outros crimes.

Entidade Externa em XML (XXE)

Numerosos analisadores XML legados ou mal configurados faz referência de entidades externas em documentos XML. As entidades externas podem ser usadas para divulgar arquivos internos usando o arquivo gerenciador de URI, compartilhamentos de arquivos internos, varredura de porta interna, execução remota de código e ataques de negação de serviço.

Controle de Acesso Violado

Restrições sobre o que os usuários autenticados podem fazer geralmente não são aplicadas corretamente, o que pode levar a vulnerabilidades de escalonamento de privilégios horizontais e verticais. Os invasores podem explorar essas falhas para acessar funcionalidades e informações não autorizadas, como acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso, etc.

Nossas revisões de código seguro podem ser complementadas por um Teste de Invasão em Aplicações Web para uma detecção exaustiva de vulnerabilidades.

O que você recebe?

Todas as constatações serão documentadas em um relatório final e, em seguida, comparados com um perfil dos pontos fortes / fragilidades com base com os padrões internacionais de TI e segurança cibernética. As vulnerabilidades identificadas serão avaliadas e complementadas com recomendações e ações de remediação, bem como priorizadas de acordo com o risco associado. O relatório final será discutido durante uma apresentação com o cliente. O relatório incluirá um resumo abrangente e significativo para o “C-Level” da área que solicitou o serviço. Além disso, incluirá todos os resultados detalhados com as respectivas evidências e recomendações para futuras medidas de segurança.

Web Application Penetration Test Report

Nossas Certificações para Teste de Invasão e Segurança

Os especialistas de segurança e pentesters da wizlynx group possuem as certificações mais reconhecidas pela indústria da segurança cibernética e teste de invasão como: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA, entre outras!

Top