Pentesting extern pentru o casă de avocatură

Sector

Servicii juridice · firmă de dimensiuni medii · 30-60 profesioniști · portofoliu cu clienți corporativi și cazuri sensibile.

Situația inițială

La solicitarea unui client corporativ, firma trebuia să furnizeze dovezi recente de teste de penetrare asupra activelor expuse pe internet. Infrastructura combina un portal de client dezvoltat la comandă, un manager documentar SaaS și servicii de e-mail și videoconferință moștenite din prima digitalizare.

Abordare

Am realizat pentesting extern în format grey-box, cu scop limitat la portalul de client, infrastructura de perimetru și subdomeniile identificate. Am aplicat metodologia bazată pe OWASP Top 10 pentru stratul web și am revizuit configurația TLS, expunerea serviciilor administrative și politicile de gestionare a sesiunilor. Fiecare constatare a fost validată manual, clasificată după CVSS și însoțită de o recomandare specifică pentru stack-ul tehnologic al clientului.

Rezultat

Am identificat 12 vulnerabilități valide (2 critice, 4 ridicate, 6 medii-scăzute) și am livrat un plan de remediere prioritizat cu responsabil alocat și termen estimat pentru fiecare constatare. Firma a închis ambele constatări critice în 72 de ore și a finalizat restul în șase săptămâni.

Lecție

Un pentest util nu este cel care găsește cele mai multe constatări, ci cel care livrează un plan de remediere pe care organizația îl poate executa.

Timp și efort

3-4 săptămâni · 60-80 ore de consultanță · raport tehnic + plan de remediere + întâlnire de închidere.

Tag-uri

Pentesting · OWASP · Securitate web · CVSS · Remediere · Sector juridic