Lapachos Lending : Reunion para dimensionar el pentest y cotizarlo con Carlos Garay

10 hs

Introducción

Juan Robles

• Alcance análisis completo de seguridad, verificar que no tenga riesgo de seguridad.

• Hacerlo por etapas.

• Prioridad hoy: lend2B tiene el objetivo de salir de MVP, verificar que tenga las MVP de seguridad.

Preguntas de Maxi

• Introducción a la funcionalidad

• Introducción a la arquitectura

• 

• Tienen acceso al ambiente Demo para poder recorrer los flujos

• Recorrido sobre la cuenta Ancla y consola lender

• Puntos de riesgo mas importante:

  • Posibles cambios de cuenta bancaria.

  • Riesgos relacionados con la API de pagos.

  • Todo lo que tenga que ver con modificacion de datos.

  • Puede tener diferentes perfiles dentro de un usuario.

  • Quien genera el alta de cada perfil.
    

Alcance

Web/Infra

• ¿Qué cantidad de IPs, rangos o Apps se deberían analizar?

No hay IPs publicas en la solución
API URL: https://dev-api.lend2b.com
WEB URL: https://console.lend2b.com

• ¿El Pentest es Black-Box, White-Box o Grey-Box?

Podría ser black box o white box.

Black Box

API URL: https://dev-api.lend2b.com

WEB URL: https://console.lend2b.com

Grey Box

API URL: https://dev-api.lend2b.com

Perfiles: Cliente, Proveedor, Cuenta Ancla, Lender, Lend2B

Cuenta Ancla

https://console.lend2b.com/login/main

vepes32162@glalen.com

Demo123*

Lender

https://console.lend2b.com/login/lender

lixid20125@eachart.com

Demo123*

Proveedor

https://console.lend2b.com/login/provider

bododaj649@bikedid.com

Demo123*

Cliente No es necesario para esta etapa

https://console.lend2b.com/login/client
civefef565@gyxmz.com
Demo123*

Lend2B

https://console.lend2b.com/login/lend2b

sopobof490@frandin.com

Demo123*

• ¿Existe limitación de horario?

No

• ¿Existe limitación en la conectividad? (VPN, Token, Certificado, etc.)

No

• ¿Posible fecha de inicio? 

• ¿Posible fecha de fin?

Tenemos salida a producción a mediados de enero, por lo que sería bueno tenerlo antes de esa fecha, @Maite Anaya ayúdame a confirmar esto por favor.
Sobre APIs:

• ¿Cuáles son los endpoints de la(s) API(s)?

En el documento adjunto

• ¿Qué protocolos utilizan para la Autorización y Autenticación?

Usamos Amazon Cognito para el sistema de autorización, el flujo de autorizacion client-side con usuario y contraseña usando el protocolo Secure Remote Password (SRP)

https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-authentication-flow.html#amazon-cognito-user-pools-client-side-authentication-flow

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html

Para la autenticación el backend de la aplicación usa un sistema de roles en variables custom de Amazon Cognito para verificar el acceso y devolver la data correcta en cada endpoint.

• ¿Qué datos son necesarios para comunicarse con la(s) API(s)?

La mayoría de los endpoints necesitan el header Authorization con el auth token generado en el login

• ¿Métodos y funcionalidades permitidas?

En el documento adjunto

• ¿Ejemplos de llamadas a la API (RAML, Swagger, etc.)

En el documento adjunto

• ¿Existe algún entorno de pruebas para comunicarse con la(s) API(s)?

Las URL y credenciales del documento pertenecen a un entorno es de pruebas

MVP a tester para certificarlo de cara al lender

Juan Robles

Para el viernes podemos compartir la versión estable del MVP 0 en demo.

Comparte el postman.