• - Mapeamento e avalização do ambiente do cliente com recomendações para reestabelecimento do ambiente de forma segura.
• - Pentest externo, no formato BlackBox.

As atividades incluirão testes nas camadas de rede e de aplicativos, além de controles e processos que compõem este ambiente.

Os testes da infraestrutura incluirão testes de servidores e estação de trabalho, baseado em análise de configurações e serviços de Sistema Operacional, bem como a análise de dispositivos de rede firewall, switches, roteadores, incluindo, mas não se limitando a:

• - Procura por serviços desatualizados e sem patch, que permitem a exploração de vulnerabilidade de forma remota e com alto impacto;
• - Procura por serviços desprotegidos, obsoletos ou com configurações inadequadas;
• - Verificação de existência de backdoors;
• - Exploração de bugs conhecidos como buffer overruns e raceconditions, para negação de serviço ou obtenção de acesso privilegiado;
• - Vulnerabilidades que permitam manipulação do dns (dnsspoofing);
• - Vulnerabilidades associadas a servidores (Active Directory, web servers, ftp, mail, etc.);
• - Implantação de coletores de pacotes (packetsniffers), controles remotos e outras ferramentas de monitoração, quando e onde couber, em caso de comprometimento inicial;
• - Testes remotos de quebra de senhas via dicionário e/ou força bruta;
• - Busca por vulnerabilidades quanto à personificação de máquinas confiadas (trusted hosts) e eventuais anomalias de roteamento;
• - Componentes de infraestrutura que possam ser utilizados como “pontes” para ataques em outros ambientes internos (vetor de ataque);
• - Avaliar vulnerabilidades que usuários com ou sem login de acesso aos serviços publicados na Internet ou internamente podem utilizar para conseguir dados confidenciais (Ex.: fornecedores, RH ou financeiros, mas não se limitando a esses);
• - Análise dos sistemas onpremises utilizados externamente no ambiente do cliente e ou das empresas que prestam serviços de tecnologia;
• - Identificação de vulnerabilidades como DoS, DDoS e outras, suscetíveis à ataques de força bruta, sem a efetivação de ataques;
• - Outras vulnerabilidades de natureza diversa, intrinsecamente dependentes dos resultados intermediários obtidos até essa etapa dos trabalhos.

Testaremos a interface de autenticação, scripts e diretórios expostos contra todas as classes de vulnerabilidades web listados pelo OWASP (não limitados ao OWASP Top 10), no teste também será dada ênfase em identificar vulnerabilidades que um usuário legítimo da aplicação possa explorar. São exemplos de classes de vulnerabilidades a serem testadas:

• - Escalação Horizontal de privilégios;
• - Escalação Vertical de Privilégios;
• - Tentativa de bypass do WAF, caso esteja presente;
• - Teste de qualidade do Captcha;
• - Stack Buffer Overflow;
• - Heap Overflow;
• - Integer Overflow;
• - FormatStringVulnerabilities;
• - Vertical PrivilegeEscalation;
• - OS commandinjection;
• - Blind SQL injection;
• - SQL Injection;
• - File path traversal;
• - XML externalentityinjection;
• - LDAP injection;
• - XPathinjection;
• - XML injection;
• - HTTP PUT/TRACE methods enabled;
• - Stored Cross-site scripting;
• - HTTP header injection;
• - Reflected Cross-site scripting;
• - Flash cross-domainpolicy;
• - Silverlightcross-domainpolicy;
• - HTML5 cross-origin resource sharing;
• - Cleartextsubmissionofpassword;
• - Referer-dependent response;
• - Useragent-dependent response;
• - Password returned in later response;
• - Password field submitted using GET method;
• - Password returned in URL query string;
• - Cross-domain POST;
• - ASP.NET ViewState without MAC enabled;
• - Open redirection;
• - SSL cookie without secure flag set;
• - Cookie scoped to parent domain;
• - Cross-domainRefererleakage;
• - Cross-domainscript include;
• - Cookie withoutHttpOnlyflag set;
• - Sessiontokenin URL;
• - Password field with autocomplete enabled;
• - Password value set in cookie;
• - File upload functionality;
• - Frameable response (potentialClickjacking);
• - Browser cross-site scripting filter disabled;
• - Databaseconnection stringdisclosed;
• - Sourcecodedisclosure;
• - Directorylisting;
• - Emailaddressesdisclosed;
• - Private IP addressesdisclosed;
• - CPF numbersdisclosed;
• - Creditcardnumbersdisclosed;
• - Robots.txt file;
• - Cacheable HTTPS response;
• - Multiplecontenttypesspecified;
• - HTML does not specify charset;
• - HTML uses unrecognizedcharset;
• - Contenttypeincorrectlystated;
• - Content type is not specified;
• - SSL certificate;
• - CSRF - Cross Site Request Forgery;
• - Permissivepasswordpolice;
• - Enumeração de usuários;
• - Overlydescriptiveerrormessages;
• - SessionFixation;
• - Simultaneousaccess;
• - Externallyacessibleadminstering interface;
• - Anti-automationmechanismabsence;
• - Obsolete server version;
• - Recovery / Reset password feature inadequate behavior;
• - HTTP verbtampering;
• - Inadequate behavior of Email sending feature.

É importante ressaltar que todos os testes serão realizados de forma manual, onde utilizaremos ferramentas como complementação aos testes.