O que é um teste de penetração de aplicativos da web?
Um teste de penetração de aplicativos da Web é uma atividade projetada para avaliar como um programa baseado na Internet se comportaria durante um ataque ou exploração. Esses testes usam uma variedade de programas de software para digitalizar um aplicativo e, em seguida, executar ações diferentes que podem ocorrer durante um ataque real. Um teste de penetração de aplicativos da Web pode ser realizado por uma equipe de desenvolvimento ou por um provedor de serviços de terceiros. Se um provedor externo for usado, a equipe da equipe de desenvolvimento ou a equipe de tecnologia da informação (TI) às vezes não será notificada do teste pela gerência. Isso pode permitir que um teste de penetração de aplicativos da Web descubra falhas que poderiam ter passado despercebidas, o que pode permitir que esses problemas sejam corrigidos antes da liberação do software.
Aplicativos da Web são pacotes de software que podem ser acessados e executados pela Internet. Esses aplicativos podem executar muitas funções e, em alguns casos, são responsáveis por lidar com dados considerados privados ou até valiosos. A fim deEvite comprometer ataques, os testes de penetração são normalmente realizados para localizar quaisquer fraquezas ou áreas de facilidade exploradas no código. O objetivo desta etapa é determinar o máximo possível de informações sobre o aplicativo. Ao enviar solicitações ao aplicativo e usando ferramentas como scanners e mecanismos de pesquisa, geralmente é possível obter informações como números de versão de software e mensagens de erro que são frequentemente usadas para encontrar explorações posteriormente.
Depois de uma quantidade suficiente de informações ter sido acumulada, a próxima meta de um teste de penetração de aplicativos da Web é executar vários ataques e explorações diferentes. Em alguns casos, as informações coletadas durante a primeira fase identificarão as explorações às quais o aplicativo pode ser vulnerável. Se nenhuma vulnerabilidade óbvia foi detectada, entãoUma gama completa de ataques e explorações pode ser tentada.
Muitas vulnerabilidades técnicas diferentes podem ser localizadas por um teste de penetração de aplicativos da Web. Esses testes normalmente tentam usar métodos como a manipulação do Localizador de Recursos Universal (URL), seqüestro de sessão e injeção de linguagem de consulta estruturada (SQL) para dividir um aplicativo. Também pode haver uma tentativa de iniciar um excesso de buffer ou outras ações semelhantes que podem fazer com que um aplicativo se comporte de forma anormal. Se algum desses ataques ou explorações fizer com que o aplicativo revele dados confidenciais ao testador de penetração, as falhas são normalmente relatadas junto com um curso de ação sugerido.