A Level Two fará um teste de segurança em todo seu site com o objetivo de encontrar vulnerabilidades e explorá-las de forma que seja possível identificar erros de segurança que podem ser utilizados por cibercriminosos com o intuito de indisponibilizar seu serviço, roubar informações, inserir vírus ou aplicar golpes utilizando seu site.

Os testes feitos em seu site serão:

Reconhecimento completo do site
Navegaremos por todas as abas, menus e listaremos as possibilidades e vertentes para possíveis ataques.

Estudo de Funcionamento e Features

Reconhecimento de todo tipo de ação do site, como por exemplo envio de mensagens, logins, formulários ou funcionalidades que necessitam de alguma interação do usuário

Footprint e Fingerprint

Identificação de servidores, Google Hacking para descobrimento de arquivos ou informações sensíveis através de buscas no Google, WHOIS para descobrimento de responsáveis legais pelo domínio, verificações DNS e etc…

Port Scan

Será feito uma varredura completa de portas de serviço e versionamento no servidor em que o seu site está hospedado para a verificação das possibilidades de invasão por meio dele, assim você pode ter um pouco mais de noção da qualidade do serviço prestado para você quando se fala de segurança digital.

XSS (|Cross-site-scripting)

Tentativa de execuções de códigos no seu site, estes códigos poderão ser tanto uma mensagem quanto um vírus que pdoerá infectar seus clientes.

CSRF (Cross-site request forgery)

Caso tenho alguma tipo de Login ou autenticação o intuito deste teste é tentar acessar diretórios que por padrão um usuário comum não possui permissão.

IDOR (Insecure Direct Object Reference)

Será feito uma manipulação complexa de pacotes para tentar injetar algum tipo de código ou obter informações sensíveis através da edição de cabeçalhos e parâmetros HTTP.

SQLi (SQL Injection)

Tentativa de injeção de códigos em bancos de dados (que normalmente estão presentes em sites Joomla, WordPress ou que possuam um armazenamento massivo de informações).

Exploits

Após a verificação de algumas possibilidades de ataques será identificado vertentes para o desenvolvimento de códigos que possam retornar informações mais sensíveis quanto ao seu site, e/ou obtenção de acesso administrativo.

Informações de CVEs
Verificação através das configurações do seu site com scanners e testes se existe alguma vulnerabilidade já registrada oficialmente, CVEs são falhas de segurança cadastradas por organizações que são autoridades em segurança da informação, nestes registros de falhas de segurança existem informações de como o ataque pode ser feito como também como pode se desenvolver uma proteção quanto a ele.

Bruteforce
Tentativas de logins nas contas de usuários do e-commerce através de tentativas.

Análise de fraude
Tentativa de fraudar uma compra no e-commerce

Obtenção de informações
Verificações de segurança quanto ao banco de dados que está armazenado os dados dos clientes do seu e-commerce

DOS (Denial of Service) e DDOS (Distributed Denial of Service)

Nesta etapa será feito um ataque massivo de diversas maneiras para deixar seu site indisponível (fora do ar ou lento) com o intuito de encontrar falhas neste quesito assim como soluções para os problemas descobertos.

Após todos os testes um relatório com o passo-a-passo de tudo feito com problemas encontrados e possíveis soluções será encaminhado para você.

Faça um orçamento sem compromisso