Escolar Documentos
Profissional Documentos
Cultura Documentos
24 de Abril de 2020
Sumário
1 Introdução 1
2 Confidencialidade 2
3 O Teste de Invasão 3
3.1 Tipo de Teste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2 Metodologias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2.1 OWASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2.2 PTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.3 CVSS Score 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3 Escopo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.1 Aplicações Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.2 Intervalos/Endereços IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.3 Domínios e Subdomínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4 Regras de Engajamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.1 Funções e Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.2 Pontos de Contato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.3 Horários Permitidos para Teste . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.4 Horários Proibidos para Teste . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.5 Ações Permitidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.6 Ações Proibidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.5 Informações Importantes Sobre o Ambiente . . . . . . . . . . . . . . . . . . . . . . . 6
4 Sumário Excutivo 7
5 Findings 8
5.1 First Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
i
Locaweb Teste de Invasão
8 Final considerations 13
DOCUMENTO CONFIDENCIAL ii
1 Introdução
Um teste de invasão é uma atividade que tem por finalidade principal encontrar vulnerabilidades em
um ambiente computacional. Essas falhas são encontradas usando técnicas, táticas e procedimentos
idênticos aos utilizados por atacantes reais, porém de forma não destrutiva. Essa abordagem é utilizada
para provar que as falhas realmente existem via exploração delas e posterior documentação.
A documentação das falhas acontece de forma técnica e não técnica, de forma que profissionais que
são tanto da área de tecnologia da informação quanto de outras áreas possam entender o conteúdo
do relatório que é produzido. Este relatório contém informações importantes como: identificação da
falha, descrição, impacto, ativos afetados, provas de conceito das explorações e recomendações de
mitigação ou correção.
1
2 Confidencialidade
Todas as normas sobre condifencialidade de informações aplicadas pela Locaweb também se aplicam
às contidas neste documento. Além disso, o seguinte deve ser observado e seguido com o mesmo
rigor:
• Bla
• Bla
• Bla
• Bla
2
3 O Teste de Invasão
Este teste de invasão aconteceu entre os dias START-DATE e END-DATE e foi conduzido pelos seguintes
profissionais:
• Name 1: Coordenador
• Name 3: Analista
Este teste seguiu a abordagem white box, pois houve a necessidade de aumentar a probabilidade de
encontrar falhas mais graves nos ambientes testados e, como consequência, diminuir a superfície de
ataque crítica interna da Locaweb.
Em um teste white box a equipe ofensiva possui liberdade de realizar consultas com o time técnico a fim
de coletar informações cruciais que auxiliem no entendimento do ambiente, bem como na descoberta
de falhas que poderiam ser mais difíceis de serem encontradas em uma abordagem black box ou até
mesmo grey box.
3.2 Metodologias
3.2.1 OWASP
A Fundação OWASP (Open Web Application Security Project) possui uma metodologia reconhecida
pelo mercado e serve como referência primária para testes de invasão em aplicações web. A OWASP
possui o chamado OWASP Testing Guide que, até a data de escrita deste documento, está na versão
4.2 e aborda sugestões de testes que envolvem praticamente todas as áreas de uma aplicação web,
como autenticação, autorização, falhas de lógica, sanitização e validação de dados de usuários, entre
outras.
3
Locaweb Teste de Invasão
3.2.2 PTES
O CVSS (Common Vulnerability Scoring System) provê uma forma de capturar as principais caracte-
rísticas de uma vulnerabilidade e produzir uma pontuação numérica que reflete sua severidade. Tal
pontuação pode ser traduzida em uma representação qualidativa (informativa, baixa, média, alta ou
crítica) para ajudar as organizações a avaliar apropriadamente e priorizar seus processos de gerência
de vulnerabilidades.
3.3 Escopo
Em um teste de invasão, o escopo compreende todos os ativos, tecnológicos, físicos ou humanos, que
serão alvos das ações da equipe ofensiva. Nele podem estar incluídos itens como domínios, aplicações
web, servidores acessíveis pela internet ou não, equipamentos de rede como roteadores e switches,
bem como pessoas, portas e catracas.
Poderão ser alvos das ações da equipe ofensiva todas as aplicações Web acessíveis apenas via rede
interna e VPN.
3.3.2 Intervalos/Endereços IP
Poderão ser alvos das ações da equipe ofensiva todos os endereços IP acessíveis apenas via rede
interna e VPN.
DOCUMENTO CONFIDENCIAL 4
Locaweb Teste de Invasão
Poderão ser alvos das ações da equipe ofensiva todos os domínios e subdomínios acessíveis apenas
via rede interna e VPN.
• Name 1
• Name 2
• Name 3
DOCUMENTO CONFIDENCIAL 5
Locaweb Teste de Invasão
Text
Text
São consideradas ações permitidas durante a execução do teste todas as que não constarem no tópico
“Ações Proibídas”.
• Exploração de kernel
• Engenharia social
• Bla
• Bla
DOCUMENTO CONFIDENCIAL 6
4 Sumário Excutivo
Texto
7
5 Findings
5.1.1 Description
Text
5.1.2 Impact
Text
5.1.3 Assets/Endpoints
Text or table
8
Locaweb Teste de Invasão
5.2.1 Description
Text
5.2.2 Impact
Text
5.2.3 Assets/Endpoints
Text or table
5.3.1 Description
Text
5.3.2 Impact
Text
5.3.3 Assets/Endpoints
Text or table
DOCUMENTO CONFIDENCIAL 9
Locaweb Teste de Invasão
5.4.1 Description
Text
5.4.2 Impact
Text
5.4.3 Assets/Endpoints
Text or table
5.5.1 Description
Text
5.5.2 Impact
Text
5.5.3 Assets/Endpoints
Text or table
DOCUMENTO CONFIDENCIAL 10
6 Technical Details and Proofs of Concept
11
7 Modifications Made on the Environment
• Registry changes
• Configuration changes
• Malwares implanted
Every single thing must be undone before the ending of the test.
12
8 Final considerations
import sys
import argparse as ap
13