Estoy tratando de aclarar una duda sobre las pruebas de seguridad.
Si la aplicación web (GUI, interfaces de usuario funcionales, roles de usuario, etc.) utiliza los servicios web de Rest para realizar acciones, creo que tanto la aplicación web como los servicios web deben probarse.
El equipo del proveedor, sin embargo, insiste en lo contrario, y solo quiere que la aplicación web se pruebe, y deja los servicios web fuera.
¿Puede alguien por favor confirmar si soy correcto y amp; aplicación web y amp; servicios web deben ser revisados? Thnx.
Actualizar : Agregando más información sobre esto.
El proveedor es un tercero, que ha escrito esta aplicación para uno de nuestros equipos. El equipo me ha pedido las instrucciones y los próximos pasos para garantizar la seguridad en esta aplicación. Recomiendo que hagamos un pentest contra esta aplicación (tanto la aplicación web como los servicios web), identifiquemos los problemas de seguridad y le indiquemos al proveedor que arregle las cosas, en lugar de que simplemente me cierre la sesión en una aplicación mal escrita.
El proveedor insiste en que mantengamos la aplicación web pentest y no la seguridad de los servicios web, ya que no es necesario probar ambos.