Relatório de Teste de Invasão

Teste em Infraestrutura e Aplicações Web

Name 1, Name 2, Red Team

24 de Abril de 2020
Sumário

1 Introdução 1

2 Confidencialidade 2

3 O Teste de Invasão 3
3.1 Tipo de Teste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2 Metodologias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2.1 OWASP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.2.2 PTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.3 CVSS Score 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3 Escopo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.1 Aplicações Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.2 Intervalos/Endereços IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3.3 Domínios e Subdomínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4 Regras de Engajamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.1 Funções e Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.2 Pontos de Contato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.4.3 Horários Permitidos para Teste . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.4 Horários Proibidos para Teste . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.5 Ações Permitidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.4.6 Ações Proibidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.5 Informações Importantes Sobre o Ambiente . . . . . . . . . . . . . . . . . . . . . . . 6

4 Sumário Excutivo 7

5 Findings 8
5.1 First Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

i
Locaweb Teste de Invasão

5.2 Second Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

5.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.2.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.2.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.2.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.3 Third Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.3.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.3.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.3.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.3.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.4 Fourth Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.4.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.4.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.4.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.4.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.5 Fifth Vuln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.5.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.5.2 Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.5.3 Assets/Endpoints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.5.4 Mitigation recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

6 Technical Details and Proofs of Concept 11

7 Modifications Made on the Environment 12

8 Final considerations 13

DOCUMENTO CONFIDENCIAL ii
1 Introdução

Um teste de invasão é uma atividade que tem por finalidade principal encontrar vulnerabilidades em
um ambiente computacional. Essas falhas são encontradas usando técnicas, táticas e procedimentos
idênticos aos utilizados por atacantes reais, porém de forma não destrutiva. Essa abordagem é utilizada
para provar que as falhas realmente existem via exploração delas e posterior documentação.

A documentação das falhas acontece de forma técnica e não técnica, de forma que profissionais que
são tanto da área de tecnologia da informação quanto de outras áreas possam entender o conteúdo
do relatório que é produzido. Este relatório contém informações importantes como: identificação da
falha, descrição, impacto, ativos afetados, provas de conceito das explorações e recomendações de
mitigação ou correção.

1
2 Confidencialidade

Todas as normas sobre condifencialidade de informações aplicadas pela Locaweb também se aplicam
às contidas neste documento. Além disso, o seguinte deve ser observado e seguido com o mesmo
rigor:

• Bla

• Bla

• Bla

• Bla

2
3 O Teste de Invasão

Este teste de invasão aconteceu entre os dias START-DATE e END-DATE e foi conduzido pelos seguintes
profissionais:

• Name 1: Coordenador

• Name 2: Líder Técnico

• Name 3: Analista

3.1 Tipo de Teste

Este teste seguiu a abordagem white box, pois houve a necessidade de aumentar a probabilidade de
encontrar falhas mais graves nos ambientes testados e, como consequência, diminuir a superfície de
ataque crítica interna da Locaweb.

Em um teste white box a equipe ofensiva possui liberdade de realizar consultas com o time técnico a fim
de coletar informações cruciais que auxiliem no entendimento do ambiente, bem como na descoberta
de falhas que poderiam ser mais difíceis de serem encontradas em uma abordagem black box ou até
mesmo grey box.

3.2 Metodologias

3.2.1 OWASP

A Fundação OWASP (Open Web Application Security Project) possui uma metodologia reconhecida
pelo mercado e serve como referência primária para testes de invasão em aplicações web. A OWASP
possui o chamado OWASP Testing Guide que, até a data de escrita deste documento, está na versão
4.2 e aborda sugestões de testes que envolvem praticamente todas as áreas de uma aplicação web,
como autenticação, autorização, falhas de lógica, sanitização e validação de dados de usuários, entre
outras.

3
Locaweb Teste de Invasão

3.2.2 PTES

A metodologia PTES (Penetration Testing Execution standard) aborda a estruturação completa de um

teste de invasão, que vai desde a reunião inicial com o cliente, passando pelas perguntas a serem
feitas e informações iniciais a serem coletadas, até a confecção do relatório, passando pelas áreas de
coleta de informações, scanning de ativos, modelagem de ameaças, exploração de vulnerabilidades
identificadas e pós exploração. Além da estruturação, a metodologia também cobre sugestões de
ferramentas a serem utilizadas em cadad uma das fases.

3.2.3 CVSS Score 3.0

O CVSS (Common Vulnerability Scoring System) provê uma forma de capturar as principais caracte-
rísticas de uma vulnerabilidade e produzir uma pontuação numérica que reflete sua severidade. Tal
pontuação pode ser traduzida em uma representação qualidativa (informativa, baixa, média, alta ou
crítica) para ajudar as organizações a avaliar apropriadamente e priorizar seus processos de gerência
de vulnerabilidades.

3.3 Escopo

Em um teste de invasão, o escopo compreende todos os ativos, tecnológicos, físicos ou humanos, que
serão alvos das ações da equipe ofensiva. Nele podem estar incluídos itens como domínios, aplicações
web, servidores acessíveis pela internet ou não, equipamentos de rede como roteadores e switches,
bem como pessoas, portas e catracas.

3.3.1 Aplicações Web

Poderão ser alvos das ações da equipe ofensiva todas as aplicações Web acessíveis apenas via rede
interna e VPN.

3.3.2 Intervalos/Endereços IP

Poderão ser alvos das ações da equipe ofensiva todos os endereços IP acessíveis apenas via rede
interna e VPN.

DOCUMENTO CONFIDENCIAL 4
Locaweb Teste de Invasão

3.3.3 Domínios e Subdomínios

Poderão ser alvos das ações da equipe ofensiva todos os domínios e subdomínios acessíveis apenas
via rede interna e VPN.

3.4 Regras de Engajamento

As regras de engajamento definem funções, responsabilidades, pontos de contato durante a execução

do teste, bem como horários e ações permitidas e proibidas. O objetivo é esclarecer e fixar responsabi-
lidades e diretrizes a serem seguidas para que o teste seja executado com a maior clareza e segurança
possível.

3.4.1 Funções e Responsabilidades

• Name 1

– Função: Coordenador de execução

– Responsabilidades: Supervisionar o progresso do teste, servir de ponto de contato do time

ofensivo e auxiliar nas análises e tomadas de decisão técnicas

• Name 2

– Função: Líder de equipe ofensiva

– Responsabilidades: Liderar a execução do teste, servindo de guia para o time quanto a

análises e tomadas de decisão técnicas

• Name 3

– Função: Operador ofensivo

– Responsabilidades: Atuar junto ao Líder da equipe ofensiva na execução do teste e auxiliar

nas análises e tomadas de decisão técnicas

3.4.2 Pontos de Contato

• Time ofensivo: Name 1

• Equipe técnica da Locaweb: Fulano de Tal

DOCUMENTO CONFIDENCIAL 5
Locaweb Teste de Invasão

3.4.3 Horários Permitidos para Teste

Text

3.4.4 Horários Proibidos para Teste

Text

3.4.5 Ações Permitidas

São consideradas ações permitidas durante a execução do teste todas as que não constarem no tópico
“Ações Proibídas”.

3.4.6 Ações Proibidas

• Exploração de kernel

– Exceto se previamente autorizado ou se for possível realizar o teste em um ativo clone do

original

• Negação de serviço (DoS ou DDoS)

– Exceto se previamente analisado e autorizado

• Engenharia social

• Testes de invasão física

3.5 Informações Importantes Sobre o Ambiente

Os ativos a seguir são considerados críticos para o negócio da Locaweb:

• Bla

• Bla

DOCUMENTO CONFIDENCIAL 6
4 Sumário Excutivo

Texto

Severidade Quantidade Detalhes

Críticas Number Some detail

Altas Number Some detail
Médias Number Some detail
Baixas Number Some detail
Informativas Number Some detail

7
5 Findings

Title CVE CVSS Score

First Vuln CVE-XXXX-XXXXX 9.0

Second Vuln CVE-XXXX-XXXXX 9.0
Third Vuln CVE-XXXX-XXXXX 9.0
Fourth Vuln CVE-XXXX-XXXXX 9.0
Fifth Vuln CVE-XXXX-XXXXX 9.0

5.1 First Vuln

5.1.1 Description

Text

5.1.2 Impact

Text

5.1.3 Assets/Endpoints

Text or table

5.1.4 Mitigation recommandations

A list of possible motigations

8
Locaweb Teste de Invasão

5.2 Second Vuln

5.2.1 Description

Text

5.2.2 Impact

Text

5.2.3 Assets/Endpoints

Text or table

5.2.4 Mitigation recommandations

A list of possible motigations

5.3 Third Vuln

5.3.1 Description

Text

5.3.2 Impact

Text

5.3.3 Assets/Endpoints

Text or table

5.3.4 Mitigation recommandations

A list of possible motigations

DOCUMENTO CONFIDENCIAL 9
Locaweb Teste de Invasão

5.4 Fourth Vuln

5.4.1 Description

Text

5.4.2 Impact

Text

5.4.3 Assets/Endpoints

Text or table

5.4.4 Mitigation recommandations

A list of possible motigations

5.5 Fifth Vuln

5.5.1 Description

Text

5.5.2 Impact

Text

5.5.3 Assets/Endpoints

Text or table

5.5.4 Mitigation recommandations

A list of possible motigations

DOCUMENTO CONFIDENCIAL 10
6 Technical Details and Proofs of Concept

Detailed technical explanation about the findings.

11
7 Modifications Made on the Environment

Detailed list of all the modifications made:

• Files created, modified (what exactly), deleted (must have backup)

• Registry changes

• Configuration changes

• Malwares implanted

Every single thing must be undone before the ending of the test.

12
8 Final considerations

Text about conslusions of the test.

import sys
import argparse as ap

print("This is a Test of Python code")

for each in item:

print(each)

13