Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Va - Unidade 1 - Vídeo 2 - Processo de Um Penetration Testing

    Enviado por

    Sandro Melo
    12 visualizações16 páginas
    teste

    Título original

    VA - UNIDADE 1 - VÍDEO 2 - PROCESSO DE UM PENETRATION TESTING

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    teste

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    12 visualizações16 páginas

    Va - Unidade 1 - Vídeo 2 - Processo de Um Penetration Testing

    Enviado por

    Sandro Melo
    teste

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 16

    Definio do escopo do teste, ou seja, quais tecnologias, processos e pessoas sero

    alvo dos testes.


    Coleta inicial de informaes necessrias para o incio do Penetration Testing.
    Definio de canal de comunicao seguro entre todos os stakeholders (empresa que
    vai realizar o teste e a que ser auditada).
    Definio dos resultados esperados.
    Definio da janela (horrio) dos testes.
    Obteno de permisso para realizao do teste.
    3
    Etapa de realizao do Penetration Testing propriamente dito.
    Identificao de vulnerabilidades e falhas de segurana.
    Explorao das Vulnerabilidades identificadas.

    4
    Elaborao de relatrio;
    Recomendaes;
    Teste para validar as mitigaes implementas;
    Um re-teste completo (Novo teste).
    5
    Planejamento
    de escopo Levantamento de
    informaes sobre Ataques
    alvo e identificao de Explorao das
    vulnerabilidades Vulnerabilidades
    Identificadas
    Testes para avaliar a "ganho de acesso"
    Mitigao

    Re-teste
    Relatrio Tcnico

    Anlise de Risco
    Planejamento
    de escopo
    Levantamento
    de dados
    Ataques
    Varreduras Explorao das
    Vulnerabilidades
    Anlise de Identificadas
    Vulnerabilidade "ganho de acesso"
    Testes para avaliar a
    Mitigao

    Re-teste Relatrio Tcnico

    Anlise de Risco
    No processo de Penetration Testing deve-se combinar as mais variadas e possveis tcnicas
    de teste de segurana: o Pentester normalmente ir execut-las na seguinte ordem:

    Teste de Engenharia Social Utilizao de tcnicas Ports Scanning


    Utilizao das Tcnicas e Ferramentas de Enumerao de informaes dos servios
    Fingerprinting encontrados
    Utilizao das Tcnicas e Ferramentas de Identificao de detalhes da tecnologia
    Footprinting utilizadas nas aplicaes, banco de dados.
    Identificao e avaliao de dispositivos de
    segurana: Firewall IDS, IPS, WAF
    Utilizao de Scanners de Vulnerabilidades
    Explorao de vulnerabilidades conhecidas nos servios identificados.
    Web
    Teste automatizados Explorao de Vulnerabilidades em aplicaes da Web e Banco de Dados
    Teste manuais, principalmente para validar falha de implementao em "Lgica do Negcio" em
    aplicaes Web ou Mobile.
    Tcnicas de Bruteforce para servios, aplicaes e Cracking de Senhas.
    Teste de Negao de Servio (DOS / DDOS).
    Escalao de Privilgio.
    Levantamento de Dados;

    Analise de Vulnerabilidades;

    Identificao de possiveis vulnerabilidades encontradas;

    Limita-se apenas a correlao de exploit apropriados para explorao


    das vulnerabilidades identificadas;

    No realizado teste para identificao de possibilidades de Negao de


    Servio (DOS).
    Levantamento de informaes Teste de Engenharia. Social

    Uso de tcnicas de Fingerprinting e


    Footprinting

    Sondagem da Rede Identificao: Firewall, IDS, IPS, WAF

    Gerao do Relatrio final com


    as Recomendaes
    Uso de tcnicas de PortScanning e
    Definio de validao das
    Enumerao Servios
    Mitigaoes
    Re-testes?!
    Scanners de Vulnerabilidade

    Servios de Rede
    Correlao de Vulnerabilidades Aplicaes Web
    conhecidas
    Apenas correlaco

    Cracking de Senhas / Brute Force de


    Servios
    Levantamento de Dados;
    Analise de Vulnerabilidades;
    Identificao de possiveis vulnerabilidades encontradas;
    Injeco de cdigo arbitrrio ema apicaes Web, Mobile;
    Extrao e/ou injeo de dados em Banco de dados;
    Correlao de exploitapropriados para explorao das vulnerabilidades
    identificadas e sua utilizao para ganhar de acesso arbitrrio;
    Identificao de possibilidades de Negao de Servio (DOS).
    Levantamento de informaes Teste de Engenharia. Social

    Uso de tcnicas de Fingerprinting e


    Footprinting

    Sondagem da Rede Identificao: Firewall, IDS, IPS, WAF

    Gerao do Relatrio final com


    Uso de tcnicas de PortScanning as Recomendaes
    e Enumerao Servios Definio de validao das
    Mitigaoes
    Re-testes?!
    Scanners de Vulnerabilidade

    Servios de Rede
    Explorao das Vulnerabilidades
    Identificadas Aplicaes Web

    Cracking de Senhas / Brute Force


    Escala de Privilgio
    de Servios
    (Ganhando Acesso a Shell)

    Teste de Negao de Servio (DOS)


    Aps a realizao de todos as tcnicas desejado que o Pentester consolide
    todos os dados levantados, dados como:
    Sistemas operacionais dos servidores da rede alvo;
    Servios de redes, verses e possvel vulnerabilidades;
    Possibilidades de ataques de Ataques de Fora Bruta;
    Dados de usurios enumerados como senhas e id;
    Falha da lgica da aplicao (Web / Mobile);
    Falha a que possibilita a injeo de cdigo arbitrrio;
    Possibilidades de Denial of Services;
    Possibilidades de acesso remotos arbitrrios;
    Qualificando cada problema identificado a partir de referncia de grau de risco;
    Sugerir correes para as vulnerabilidades identificadas.
    Vincular as vulnerabilidades identificadas com referencias de Segurana como
    BID, OSVDB, CVE entre outras

    Você também pode gostar