A segurança de tecnologias de informação é actualmente uma preocupação crescente para indivíduos e organizações. Esta preocupação é ainda maior no sector financeiro, não só pelas quantias monetárias envolvidas, mas também pela informação sensível e privada de clientes e organizações. Como meio de aferir segurança de infraestruturas, redes, aplicações web e muitos outros activos tangíveis ou intangíveis, organizações estão a investir em testes que simulam o comportamento de um atacante malicioso mas, num ambiente controlado para identificar as suas próprias vulnerabilidades. Esta dissertação foca-se na análise dos resultados de auditorias de segurança conduzidos em diversas aplicações financeiras de uma entidade reguladora do sector com auxílio de ferramentas automáticas para avaliar o seu nível de maturidade. Para alcançar esta análise e classificação de risco com testes de intrusão, o processo foi idealizado de raiz desde a definição das “rules of engagement”, escolha da abordagem de testes, seleção de web scanners, realização de testes de intrusão, confirmação de vulnerabilidades e classificação das mesmas. Para registo e apresentação de resultados da auditoria de segurança e priorização de intervenções, foi criado um painel de instrumentos para acompanhamento das vulnerabilidades encontradas em qualquer auditoria de segurança categorizadas com a classificação de risco CVSS v3.0 e capaz de gerar relatórios – o resultado formal de qualquer auditoria baseada em testes de intrusão. Com base nesta auditoria, pode ser estabelecida uma relação com outras entidades reguladores no sector acerca das vulnerabilidades emergentes cujas aplicações web se baseiam nas mesmas tecnologias. Para concluir, as vulnerabilidades encontradas foram mapeadas contra os sistemas de vulnerabilidades mais comuns e severas como o OWASP Top 10 e identificado o impacto no regulador e entidades reguladas.

Information security is today an increasing concern for individuals and organizations. This concern is even greater in the finance sector, not only because the financial amount involved but also clients and organization’s private and sensitive information. As a way to test security in infrastructures, networks, deployed web applications and many other important tangible and intangible assets, organizations have been performing penetration testing which simulates an attacker’s behavior in a controlled environment in order to identify its own vulnerabilities. This work focus on the analysis of the results of security audits conducted on several financial web applications from one market regulator institution with aid of automatic tools in order to assess their web applications maturity security level. In order to accomplish this security analysis and risk classification with penetration testing, the full process was built from scratch - from the defining the rules of engagement, choosing the approach, selecting the web scanners, conducting the penetration testing, confirming vulnerabilities and identifying mitigations, and classifying vulnerabilities. In order to register and show results of the security audit and for mitigation prioritize, a web dashboard was developed to keep track of vulnerabilities found in any security audit categorized with CVSS v3.0 and able to build reports - the formal result of any pentest-based security audit. Based on this security audit, a correlation with other regulator entities can be made and what vulnerabilities emerge in the finance sector web applications that are based on the same development technologies. On top of that, the vulnerabilities discovered were mapped against well-known and well-adopted security risks ranking methods, such as the OWASP Top 10 and measure the impact in the regulator and regulated entities.