Criar uma solicitação de avaliação de teste de invasão (anterior à v19.0)

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Inicie uma solicitação de avaliação de teste de invasão para suas aplicações Web ou APIs. Essas solicitações são enviadas para a equipe de hacking ético, que, em seguida, procede ao teste dessas aplicações e relata manualmente as descobertas do teste de invasão.

    Antes de Iniciar

    Função necessária: Gerenciador de apps-sec

    Por Que e Quando Desempenhar Esta Tarefa

    O proprietário da aplicação gera uma solicitação de avaliação de teste de invasão para verificar manualmente sua aplicação ou APIs. A equipe de hacking ético testa a aplicação e cria manualmente as descobertas do teste de invasão. Essas descobertas são itens vulneráveis à aplicação (Avis) criados manualmente.

    O grupo de atribuição padrão para a descoberta do teste de invasão é o grupo configurado no campo "Equipe da aplicação" da solicitação de avaliação de teste de invasão associada. O tipo de atribuição da descoberta do teste de invasão é Manual. As regras de atribuição não podem substituir a atribuição dessas descobertas do teste de invasão.

    A partir da v19.0, você pode criar solicitações de avaliação de teste de invasão diretamente na tabela Solicitações de avaliação de teste de invasão [sn_vul_pen_test_assessment_request_list]. Para obter mais informações, consulte Criar uma solicitação de avaliação de teste de invasão a partir de solicitações existentes (v19.0).

    Procedimento

    1. Anterior à v19.0, navegue . Tudo > Autoatendimento > Catálogo de serviços > Serviços > Solicitação de avaliação de teste de invasão.
    2. Opcional: Como alternativa, você pode criar uma solicitação replicando solicitações encerradas.
      Todos os valores da solicitação original são preservados. Itens vulneráveis à aplicação (Avis) ativos são copiados automaticamente para a nova solicitação.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de solicitação de avaliação de teste de invasão
      Campo Descrição
      Número Identificador exclusivo gerado para a solicitação de avaliação de teste de invasão.
      Solicitação de Pessoa que solicita a avaliação da aplicação.
      Solicitação de avaliação primária Solicitação de avaliação de teste de invasão original usada para criar a solicitação secundária. Ele é criado usando uma solicitação de avaliação fechada. Visível somente no formulário de solicitação de avaliação secundária.
      Aplicação Selecione uma aplicação usando a opção de pesquisa.
      Tipo de aplicação Selecione uma opção de:
      • Serviço Web (conhecido como API anterior à v16.1)
      • Aplicação Web
      • Cliente espesso
      • Mobile (se você selecionar Mobile, a guia Mobile será exibida na parte inferior do formulário com campos adicionais)
      V19.0: Tamanho da aplicação Selecione o tamanho da aplicação que você deseja testar.
      • Pequeno
      • Médio(a)
      • Grande
      • Padrão (selecione esta opção se você não tiver certeza do tamanho)
      Tipo de avaliação Selecione o tipo de avaliação:
      • Teste de invasão completa
      • Teste focado
      • Testar novamente
      Para obter detalhes, consulte Configure tipos de avaliação para testes de invasão.
      Finalidade da aplicação Descrição da funcionalidade da aplicação.
      Detalhes das stacks de tecnologia Pilha de tecnologia completa do front-end ao back-end, bancos de dados e outras tecnologias importantes.
      É uma aplicação de terceiros? Confirma se esta aplicação pertence a um fornecedor de terceiros.
      Tipos de lista de dados confidenciais acessíveis pela aplicação Tipos de dados confidenciais acessíveis na aplicação. Por exemplo, dados PII, dados PHI e dados financeiros, como números de cartão de crédito.
      Tipo de autenticação Especifica se esta aplicação usa autenticação LDAP, sua própria autenticação nativa ou outras formas de autenticação.
      A aplicação está no escopo de algum programa de conformidade? Especifica se esta aplicação afeta algum programa de conformidade, como PCI.
      Contatos da equipe de aplicações Os membros da equipe de aplicações devem ser contatados pela equipe de hacking ético em caso de dúvidas.
      Data da demonstração Data em que esta aplicação pode ser demonstrada.
      Implantação do produto planejada em Data planejada para implantar esta aplicação em produção.
      Versão/liberação da aplicação planejada para implantação Versão da aplicação planejada para implantação de produção.
      V19.0: Aplicação de propriedade de um fornecedor terceirizado ou uma joint-venture Se você selecionar Sim para este campo, a guia Informações do fornecedor/empreendimento conjunto será exibida com campos adicionais.

      O termo "cláusula" pode se referir a padrões para testes que incluem quaisquer acordos existentes entre duas ou mais partes.
      Estado Selecione um valor com base no status da solicitação.
      Grupo de atribuição Grupo selecionado para trabalhar nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente da App-Sec.
      Atribuição a Indivíduo do grupo de atribuição selecionado que trabalha nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente da App-Sec.
      Sprint Exibe os sprints com largura de banda disponível para acomodar a solicitação de avaliação com base no campo Tipo de avaliação selecionado.
      Criação em Data e hora em que a solicitação foi criada.
      Data de início dos testes Data e hora em que o teste começa.
      Atualização em Data e hora em que a solicitação foi atualizada pela última vez.
      Detalhes do teste
      URLs para teste URLs que devem ser incluídos no teste de invasão.
      URLs a serem excluídos URLs que devem ser excluídos do teste de invasão.
      Essa aplicação já foi testada? Especifica se esta aplicação já foi testada para invasão.
      Motivo para testar novamente Motivo para solicitar uma reavaliação de teste de invasão se a aplicação tiver sido testada anteriormente.
      Quando a aplicação foi testada? Período em que a aplicação foi testada para invasão.
      Detalhes da conta de teste Detalhes da conta de teste que pode ser usada pela equipe de hacking ético para testes de invasão.
      Funções da aplicação Funções compatíveis com a aplicação para seus usuários.
      Funções mais usadas Funções mais usadas na aplicação.
    4. Selecione Enviar.
      Uma notificação por e-mail é enviada para a equipe de hacking ético informando que a solicitação foi criada para a aplicação relevante.