A abordagem da estrutura de teste tem como objetivo transmitir de forma ordenada o qu\u00ea, por qu\u00ea? Quando? E onde? dos testes de seguran\u00e7a de aplicativos da Web.<\/p>\n
Dentro do “o qu\u00ea”, podemos encontrar sistemas e aplicativos que ser\u00e3o comparados com um conjunto de crit\u00e9rios usando um procedimento para garantir a confian\u00e7a; nessa abordagem, encontramos a tr\u00edade de pessoas, processos e tecnologia. O foco n\u00e3o \u00e9 apenas t\u00e9cnico, mas tamb\u00e9m de gerenciamento e opera\u00e7\u00e3o.<\/p>\n
Dentro do Quando podemos nos alinhar ao nosso ciclo de desenvolvimento de software (SDLC), seja qual for a metodologia que estivermos adotando, o objetivo \u00e9 considerar os momentos em que melhorar a seguran\u00e7a \u00e9 “mais barato” em termos de esfor\u00e7o geral.
\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_84b.jpeg\")
<\/p>\n
![](\"http:\/\/localhost\/assets\/images\/blog\/nota_84b.jpeg\")
<\/center>Al\u00e9m disso, o WSTG possui recursos projetados especificamente, sendo que a \u00faltima de suas atualiza\u00e7\u00f5es inclui a introdu\u00e7\u00e3o de novos cen\u00e1rios de teste, incluindo testes, por exemplo, em APIs GraphQL. Isso serve para fornecer uma abordagem de teste de seguran\u00e7a mais abrangente, cobrindo as mais recentes tecnologias da Web.<\/p>\n
Para permitir um processo de teste mais sistem\u00e1tico, tamb\u00e9m foram adicionados objetivos a todos os cen\u00e1rios. A import\u00e2ncia desses objetivos \u00e9 que eles fornecem \u00e0 equipe de teste metas claras e resultados esperados para cada cen\u00e1rio de teste.<\/p>\n
A experi\u00eancia de leitura tamb\u00e9m foi significativamente aprimorada com a padroniza\u00e7\u00e3o dos formatos dos cen\u00e1rios. Isso facilita a compreens\u00e3o e o acompanhamento do guia de teste pela sua equipe.<\/p>\n
Estrutura da estrutura de teste<\/span><\/p>\n O WSTG est\u00e1 estruturado em 5 fases marcadas por diferentes est\u00e1gios t\u00edpicos do ciclo de desenvolvimento de software:<\/p>\n Fase 1: Antes do in\u00edcio do desenvolvimento<\/span> Fase 2 durante a defini\u00e7\u00e3o e o projeto<\/span> O design e a arquitetura dos aplicativos tamb\u00e9m s\u00e3o avaliados em rela\u00e7\u00e3o aos modelos de amea\u00e7as, com o objetivo de encontrar lacunas nos est\u00e1gios iniciais e cr\u00edticos do desenvolvimento.<\/p>\n Fase 3 durante o desenvolvimento<\/span> Fase 4 durante a implementa\u00e7\u00e3o<\/span> Fase 5 durante a manuten\u00e7\u00e3o e as opera\u00e7\u00f5es<\/span> Implementa\u00e7\u00e3o do WSTG<\/span><\/p>\n Para implantar a WSTG em uma organiza\u00e7\u00e3o, de forma simplificada e geral, propomos as seguintes etapas:<\/p>\n Prepara\u00e7\u00e3o:<\/b><\/p>\n \u2022\u00a0Conhe\u00e7a seus objetivos<\/b>: entenda o que voc\u00ea deseja alcan\u00e7ar com os testes de seguran\u00e7a. Isso pode incluir a identifica\u00e7\u00e3o de vulnerabilidades, a conformidade com normas espec\u00edficas ou simplesmente melhorar a seguran\u00e7a geral do seu aplicativo Web. Voc\u00ea pode estruturar o seu planejamento fazendo uma modelagem de amea\u00e7as e definindo algumas m\u00e9tricas que considera relevantes para a sua empresa.<\/p>\n \u2022\u00a0Coleta de informa\u00e7\u00f5es<\/b>: re\u00fana informa\u00e7\u00f5es sobre o aplicativo que voc\u00ea vai testar. Isso inclui URLs, tecnologias usadas (por exemplo, estruturas, bancos de dados) e quaisquer outras informa\u00e7\u00f5es relevantes.<\/p>\n \u2022\u00a0Obter permiss\u00e3o<\/b>: certifique-se de que voc\u00ea tem permiss\u00e3o expl\u00edcita para realizar testes de seguran\u00e7a no aplicativo Web. O teste sem consentimento pode estar fora da estrutura legal ou ser eticamente incorreto.<\/p>\n Configura\u00e7\u00e3o do ambiente de teste:<\/b><\/p>\n \u2022\u00a0Ferramentas<\/b>: instale as ferramentas necess\u00e1rias para os testes, como scanners de vulnerabilidade, proxies de intercepta\u00e7\u00e3o (por exemplo, OWASP ZAP, Burp Suite) e ferramentas de an\u00e1lise de c\u00f3digo est\u00e1tico ou din\u00e2mico (a OWASP tem uma lista de op\u00e7\u00f5es para cada caso).<\/p>\n \u2022\u00a0Ambiente de teste<\/b>: sempre que poss\u00edvel, configure um ambiente de teste que seja uma r\u00e9plica exata ou representativa do ambiente de produ\u00e7\u00e3o. Isso permite que voc\u00ea fa\u00e7a testes sem o risco de afetar os dados ou a disponibilidade do sistema de produ\u00e7\u00e3o.<\/p>\n Desempenho do teste:<\/b><\/p>\n \u2022\u00a0Testes de reconhecimento<\/b>: comece com testes de reconhecimento para obter mais informa\u00e7\u00f5es sobre o aplicativo, como a identifica\u00e7\u00e3o de pontos de entrada, servi\u00e7os expostos e vers\u00f5es de software. Nesses testes, voc\u00ea pode executar diretamente uma revis\u00e3o do c\u00f3digo-fonte, o que lhe permitir\u00e1 obter uma vis\u00e3o mais detalhada do aplicativo ou do trecho de c\u00f3digo que est\u00e1 sendo testado.<\/p>\n \u2022\u00a0Teste de vulnerabilidade<\/b>: Use o OWASP WSTG Test Guide como refer\u00eancia para testes espec\u00edficos, como inje\u00e7\u00e3o de SQL, XSS (cross-site scripting), autentica\u00e7\u00e3o insegura e manipula\u00e7\u00e3o de sess\u00e3o, configura\u00e7\u00e3o incorreta de seguran\u00e7a e exposi\u00e7\u00e3o de dados confidenciais, entre outros. Cada um desses testes conter\u00e1 uma an\u00e1lise do ponto de vista da amea\u00e7a e um conjunto de poss\u00edveis atenua\u00e7\u00f5es aplicadas em algum ponto do ciclo de desenvolvimento. \u00a0\u2022\u00a0Automa\u00e7\u00e3o e teste manual<\/b>: combine o uso de ferramentas automatizadas com testes manuais para obter uma cobertura de teste mais abrangente. As ferramentas podem ajud\u00e1-lo a identificar vulnerabilidades conhecidas, enquanto o teste manual \u00e9 fundamental para identificar problemas l\u00f3gicos e outros problemas que as ferramentas n\u00e3o conseguem detectar. As abordagens de teste incluem:<\/p>\n \u2022\u00a0Identidade, autentica\u00e7\u00e3o e controle de acesso<\/p>\n \u2022\u00a0Valida\u00e7\u00e3o de entrada<\/p>\n \u2022\u00a0Criptografia<\/p>\n \u2022\u00a0Gerenciamento de usu\u00e1rios e sess\u00f5es<\/p>\n \u2022\u00a0Tratamento de erros e exce\u00e7\u00f5es<\/p>\n \u2022\u00a0Registros e auditoria<\/p>\n Relat\u00f3rio e corre\u00e7\u00e3o de vulnerabilidades:<\/b><\/p>\n \u2022\u00a0Documente suas descobertas<\/b>: Crie um relat\u00f3rio detalhado das vulnerabilidades encontradas, incluindo a gravidade, a descri\u00e7\u00e3o do problema e as recomenda\u00e7\u00f5es para corre\u00e7\u00e3o.<\/p>\n \u2022\u00a0Comunicar os resultados<\/b>: apresente os resultados \u00e0s equipes relevantes (desenvolvimento, seguran\u00e7a, opera\u00e7\u00f5es) e discuta as a\u00e7\u00f5es corretivas.<\/p>\n \u2022\u00a0Corre\u00e7\u00e3o de vulnerabilidades<\/b>: trabalhe com a equipe de desenvolvimento para corrigir as vulnerabilidades identificadas. Isso pode incluir a modifica\u00e7\u00e3o do c\u00f3digo, a altera\u00e7\u00e3o das configura\u00e7\u00f5es ou a aplica\u00e7\u00e3o de patches em componentes de terceiros.<\/p>\n Verifica\u00e7\u00e3o e monitoramento:<\/b><\/p>\n \u2022\u00a0Verifica\u00e7\u00e3o das corre\u00e7\u00f5es<\/b>: Depois que as corre\u00e7\u00f5es forem aplicadas, realize testes de acompanhamento para verificar se as vulnerabilidades foram efetivamente resolvidas.<\/p>\n Conclus\u00e3o<\/b><\/p>\n O WSTG v4.2 \u00e9 um recurso valioso para melhorar a seguran\u00e7a dos aplicativos da Web da sua organiza\u00e7\u00e3o. Sua metodologia e escopo simplificados o tornam aplic\u00e1vel a organiza\u00e7\u00f5es de todos os tamanhos. Lembre-se de que a seguran\u00e7a de aplicativos Web n\u00e3o \u00e9 um evento \u00fanico, mas um processo cont\u00ednuo.<\/p>\n Mantenha-se atualizado e seguro.<\/p>\n
\nO planejamento de testes inclui n\u00e3o apenas o alinhamento com a estrutura atual do SDLC, mas tamb\u00e9m a revis\u00e3o de pol\u00edticas e padr\u00f5es aplic\u00e1veis ao aplicativo a ser testado, sua documenta\u00e7\u00e3o existente e a defini\u00e7\u00e3o de m\u00e9tricas ou elementos a serem medidos para avaliar a conformidade do teste.<\/p>\n
\nNessa fase, s\u00e3o definidos os objetivos e os requisitos de seguran\u00e7a a serem avaliados, incluindo os mecanismos de seguran\u00e7a atuais, como: gerenciamento de usu\u00e1rios, autentica\u00e7\u00e3o, confidencialidade dos dados, seguran\u00e7a das comunica\u00e7\u00f5es, integridade, entre outros.<\/p>\n
\nAs revis\u00f5es r\u00e1pidas de c\u00f3digo s\u00e3o conduzidas em um formato de “tutorial” para entender a estrutura geral e, em seguida, aprofundar com revis\u00f5es espec\u00edficas quando necess\u00e1rio (\u00e9 aqui que entra o OWASP Top 10!).<\/p>\n
\nNesse est\u00e1gio, j\u00e1 temos uma parte funcional do aplicativo na qual podemos realizar testes “din\u00e2micos”. Testamos o design por meio de testes de penetra\u00e7\u00e3o ou testes funcionais de diferentes tipos.<\/p>\n
\nEssa fase costuma ser a mais complicada de sustentar ou garantir, pois abrange tudo o que acontece depois que o aplicativo foi implantado, como avalia\u00e7\u00f5es peri\u00f3dicas para garantir que o n\u00edvel de seguran\u00e7a obtido durante o teste seja mantido.<\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_84a.jpeg\")
<\/p>\n![](\"http:\/\/localhost\/assets\/images\/blog\/nota_84a.jpeg\")
<\/center>Refer\u00eancias<\/h5>\n