Teste de penetração - Correção
Os esforços de teste de penetração - por mais completos que sejam - nem sempre podem garantir uma descoberta exaustiva de cada instância em que a eficácia do controle de segurança é insuficiente. Identificar uma vulnerabilidade ou risco de script entre sites em uma área de um aplicativo pode não expor definitivamente todas as instâncias desta vulnerabilidade presentes no aplicativo. Este capítulo ilustra o conceito e a utilidade da remediação.
O que é correção?
A correção é um ato de oferecer uma melhoria para substituir um erro e corrigi-lo. Freqüentemente, a presença de vulnerabilidade em uma área pode indicar fraqueza no processo ou nas práticas de desenvolvimento que poderiam ter replicado ou habilitado vulnerabilidades semelhantes em outros locais. Portanto, durante a correção, é importante que o testador investigue cuidadosamente a entidade ou os aplicativos testados com controles de segurança ineficazes em mente.
Por esses motivos, a respectiva empresa deve tomar medidas para remediar qualquer vulnerabilidade explorável dentro de um período de tempo razoável após o teste de penetração original. Na verdade, tão logo a empresa tenha concluído essas etapas, o pen tester deve realizar um novo teste para validar os controles recém-implementados que são capazes de mitigar o risco original.
Os esforços de correção que se estendem por um período mais longo após o teste inicial da caneta possivelmente requerem a execução de um novo trabalho de teste para garantir resultados precisos do ambiente mais atual. Essa determinação deve ser feita após uma análise de risco de quantas mudanças ocorreram desde que o teste original foi concluído.
Além disso, em condições específicas, o problema de segurança sinalizado pode ilustrar uma falha básica no respectivo ambiente ou aplicativo. Portanto, o escopo de um reteste deve considerar se quaisquer alterações causadas pela correção identificada no teste são classificadas como significativas. Todas as alterações devem ser testadas novamente; entretanto, se um novo teste do sistema inteiro é necessário ou não, será determinado pela avaliação de risco das mudanças.