Escolar Documentos
Profissional Documentos
Cultura Documentos
O OWASP Web Security Testing Guide (WSTG) é um guia abrangente focado em testes de
aplicações web. É uma compilação de muitos anos de trabalho dos membros da OWASP.
OWASP WSTG cobre as fases de alto nível dos testes de segurança de aplicações web e
se aprofunda nos métodos de teste usados. Por exemplo, chega ao ponto de fornecer
vetores de ataque para testar scripts entre sites (XSS), ataques de entidade
externa XML (XXE), falsificação de solicitação entre sites (CSRF) e ataques de
injeção de SQL; bem como como prevenir e mitigar esses ataques. Você aprenderá mais
sobre esses ataques no Módulo 6, “Explorando vulnerabilidades baseadas em
aplicativos”. Do ponto de vista dos testes de segurança de aplicações web, o OWASP
WSTG é o guia mais detalhado e abrangente disponível. Você pode encontrar o OWASP
WSTG e informações relacionadas ao projeto em https://owasp.org/www-project-web-
security-testing-guide/.
Interações pré-engajamento
Coleta de informação
Modelagem de ameaças
Análise de vulnerabilidade
Exploração
Pós-exploração
Comunicando
Coleta de informações
Mapeamento de rede
Identificação de vulnerabilidade
Penetração
Obtendo acesso e escalonamento de privilégios
Enumerando mais
Comprometendo usuários/sites remotos
Mantendo o acesso
Cobrindo os rastros
Esta versão pode ser considerada v1.0, pois os elementos principais do padrão estão
solidificados e foram "testados na estrada" por mais de um ano pela indústria. Uma
versão 2.0 estará em desenvolvimento em breve e fornecerá um trabalho mais granular
em termos de “níveis” – como nos níveis de intensidade nos quais cada um dos
elementos de um teste de penetração pode ser executado. Como nenhum pentest é igual
ao outro, e os testes irão variar desde o mais mundano teste de aplicação web ou
rede, até um envolvimento total da equipe vermelha, esses níveis permitirão que uma
organização defina quanta sofisticação espera que seu adversário exiba, e permitirá
o testador aumente a intensidade nas áreas onde a organização mais precisa. Parte
do trabalho inicial sobre “níveis” pode ser visto na seção de coleta de
inteligência.
A seguir estão as principais seções definidas pela norma como base para a execução
de testes de penetração:
Interações pré-engajamento
Coleta de informação
Modelagem de ameaças
Análise de Vulnerabilidade
Exploração
Pós-exploração
Comunicando
Como a norma não fornece nenhuma orientação técnica sobre como executar um pentest
real, também criamos um guia técnico para acompanhar a própria norma. O guia
técnico pode ser contatado através do link abaixo:
Diretrizes Técnicas
Para obter mais informações sobre o que é esse padrão, visite