Handbook
  • Introdução
  • Empresa
    • Bem Vindo a Vantico!
    • Valores da Vantico
    • Trabalho Remoto
    • Branding
      • Cores
      • Tipografia
      • Ilustrações
      • Tom de voz & Descrições
    • Políticas
    • Soluções utilizadas pela Vantico
  • Serviços
    • Inteligência de ameaças
    • Revisão de código seguro
    • Pentest WEB
    • Pentest API
    • Pentest Mobile
    • Pentest rede interna
    • Pentest rede externa
    • Revisão de configuração cloud
    • Pentest Azure Active Directory
    • Pentest Desktop
    • Pentest IA/LLM
    • Red Team e Emulação de Adversário
  • Parceiros
    • Visão geral sobre Pentest
    • Tipos de Pentest
    • Relatório do Pentest
    • Teste de correção (Re-test)
    • Pentest para PCI DSS
    • Perguntas frequentes
  • Pentester
    • Markdown
    • Como reportar uma vulnerabilidade
  • Plataforma
    • Começe aqui
      • Acessando a Plataforma
      • Preparação para o Pentest
      • Selecione o Tipo de Pentest
      • Definir os Requisitos do Pentest
        • Alvo
        • Teste suas Crendenciais
        • Instruções para cada Pentest
      • Especifique os Detalhes do Pentest
        • Planejamento e Escopo do Pentest
        • Revisar e Enviar o Pentest
        • Expectativas do Pentest
        • Glossário
    • Changelog
    • Pentests
      • Processos do Pentest
        • Estados de Pentest
        • Lista de verificação de cobertura
      • Descobertas
        • Corrigindo Descobertas
        • Estados das Descobertas
        • Níveis de gravidade
      • Relatórios
        • Conteúdo de um relatório Pentest
        • Customize seu Relatório de Pentest
        • Relatórios de Pentest de marca conjunta
    • Colaboração
      • Colabore em Pentests
      • Gerenciar colaboradores do Pentest
      • Funções e permissões do usuário
      • Notificações
    • Domínios
    • DAST Scanner
      • Alvos
      • Autenticação do Alvo
    • Organização
      • Gerenciar usuários
    • Conta Vantico
      • Solucionar problemas de Login
      • Configurações da Conta
      • Melhores Práticas com a Senha
  • Metodologias
    • API
      • GraphQL
      • REST
    • Cloud
      • AWS
      • BucketLoot
      • Referências
    • Mobile
      • iOS
      • Android
      • Referências
    • Kubernetes
    • Rede Externa
      • Enumeração de Subdomínios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
    • Rede Interna
      • PowerShell
      • Movimentação Lateral
      • Pós Exploração
      • Escalação de Privilégios
      • Low Hanging Fruits
      • Credenciais de Serviços padrão
      • Referências
    • Aplicações Web
      • Checklist
      • Low Hanging Fruits
      • Gerando Valor
      • Técnicas
      • Automatizando o Scan por Secrets
      • Chaves API
      • Referências
    • Spear Phishing
    • Ferramentas
    • Gerando wordlists efetivas
    • Guia de engajamento de um pentest
Powered by GitBook
On this page

Was this helpful?

  1. Plataforma
  2. DAST Scanner

Alvos

Um destino é o URL de um aplicativo Web, site ou API.

Um alvo define o escopo da verificação.

O que é um alvo DAST?

Um alvo ADAST é o ponto de entrada específico (URL ou endpoint) de um aplicativo web, site, API ou qualquer componente que aceite entrada do mundo externo. Ele define o escopo, ou limites, da verificação de segurança conduzida por uma ferramenta DAST, limitando a ferramenta a analisar apenas as páginas, links ou formulários dentro do domínio do alvo.

Por exemplo, com um destino https://example.com, a verificação cobriria https://example.com/app1, mas não https://app2.example.com. Essencialmente, o scanner examina URLs que começam com “example.com”.

Exemplos de alvos DAST:

  • URLs: estes são os alvos mais comuns, representando páginas da web ou seções individuais dentro de um aplicativo:

    • https://www.example.com: domínio de nível superior que hospeda o aplicativo

    • https://example.com/blog: subpasta ou subseção dentro do aplicativo

    • https://admin.example.com: subdomínio que hospeda um aplicativo separado

  • APIs: os aplicativos geralmente usam APIs para comunicação, e o DAST pode identificar vulnerabilidades como acesso não autorizado ou vazamento de dados:

    • https://api.us.example.com: API interna hospedada em um subdomínio

    • https://api.eu.example.com: instância de API separada hospedada de forma independente

  • Formulários: o DAST pode avaliar a segurança de formulários de login, páginas de registro e outros campos de entrada contra ataques como injeção de SQL ou scripts entre sites:

    • https://example.com/login: formulário de login no domínio de nível superior

    • https://checkout.example.com: formulário de checkout e pagamento hospedado em um subdomínio

O que NÃO é um alvo DAST:

  • Ativos Vantico: Ativos no Vantico não são sinônimos de metas. Um ativo geralmente é um aplicativo inteiro, composto por vários sistemas internos e de terceiros, APIs e outros componentes. As ferramentas DAST não analisam uma base de código inteira, mas concentram-se apenas nas partes que aceitam entradas externas. Esses componentes, que residem em um URL exclusivo (ou seja, exemplo.com, app.example.com e api.example.com), constituiriam, cada um, um alvo individual.

  • Servidores ou redes: embora os aplicativos sejam executados em servidores e interajam com redes, as ferramentas DAST normalmente não testam diretamente esses aspectos.

  • Código fonte: o DAST analisa o comportamento do aplicativo, não o código em si. Esse é o domínio do Static Application Security Testing (SAST).

  • Aplicativos de terceiros: aplicativos externos nos quais os clientes não têm aprovação para executar verificações ou testes.

Um alvo DAST claro e bem definido garante que a verificação se concentre nas áreas específicas de um aplicativo mais suscetíveis a ameaças externas.

Configurando um alvo

Existem algumas opções de configuração disponíveis ao configurar alvos.

  • Destinos autenticados: você pode ver uma explicação detalhada em Autenticação.

  • URLs evitados: as verificações funcionam rastreando e descobrindo novos URLs em seu aplicativo. Se quiser reduzir o escopo da verificação para evitar a verificação de determinadas partes do aplicativo, você pode adicioná-las aos URLs evitados. Estes são exemplos válidos para URLs evitados:

https://example.com/admin*
https://api.example.com/api/users*
https://example.com/account*

Caminhos iniciais: de maneira semelhante, uma varredura geralmente começa a partir do URL de destino. Às vezes, existem algumas páginas que não podem ser acessadas a partir daí. Se quiser adicionar alguns pontos de partida extras para a varredura, você pode usar caminhos iniciais. Observe que apenas caminhos relativos são permitidos e os URLs evitados têm precedência. Este é um exemplo válido:

posts/search?query=vantico

PreviousDAST ScannerNextAutenticação do Alvo

Last updated 8 months ago

Was this helpful?