GUIA DO EXAME DCPT

Copyright © Desec Security

(https://www.desecsecurity.com)
Recomendações

• Ter concluído o treinamento Novo Pentest Profissional - NPP, apesar de não ser
obrigatório;
• Ter concluído todos os projetos do Pentest Experience – PE, sendo este obrigatório,
para que o voucher para DCPT seja liberado;
• Revisar todas as explorações no Pentest Experience em que foi necessário ajuda
externa para sua conclusão;

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

Fases do Exame

• O exame é dividido em duas fases*:

◦ FASE I - Exame prático (24 horas)
• O aluno recebe um acesso VPN e tem 24 horas para identificar e explorar
os hosts. Todos os hosts devem ser comprometidos.
◦ FASE II - Entrega do relatório profissional (24 horas)
• O aluno precisa entregar, em até 24 horas, um relatório profissional
completo sobre todo o processo de identificação e exploração das
vulnerabilidades.
◦ FASE EXTRA* - Esta etapa não é obrigatória, mas pode ocorrer caso o relatório
entregue na fase II apresente alguma inconsistência, ou seja, necessário algum
esclarecimento.
• Resolução de máquina ao vivo ou apresentação de uma das explorações do
exame realizado (com no máximo 1(uma) hora de duração).

* Todas as fases são eliminatórias

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

Agendamento do Exame
• Para agendar o exame o aluno deve acessar o Pentest Experience e clicar no botão
“Exame Final”;
• É importante o aluno clicar no botão “Dúvidas Frequentes” para ter acesso a
informações fundamentais sobre o processo do exame;
• Em seguida clicar no botão “Agendar Exame”;
• Escolha data/hora disponível (retângulos brancos);
• Estarão disponíveis datas para os próximos 30 dias, exceto os dias que já foram
agendados por outros alunos;
• Concluído o agendamento o aluno receberá e-mail avisando sobre a data e hora
agendadas.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

Cancelamento do agendamento
• O aluno só poderá efetuar o cancelamento do agendamento do exame 48 (quarenta e
oito) horas ANTES do início do mesmo;
• Para cancelar o agendamento do exame o aluno deve acessar o Pentest Experience e
clicar no botão “Exame Final”. Em seguida, clicar no botão “Cancelar Agendamento”.
E logo depois clicar no botão “Confirmar”;
• Caso o agendamento do exame seja cancelado o aluno só poderá agendar um novo
após 7 (sete) dias corridos;
• Ao cancelar o agendamento do exame o aluno receberá um e-mail confirmando a
ação.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

FASE I – EXAME PRÁTICO
• O exame iniciará automaticamente na data/hora agendada;
• Na data/hora agendada o aluno deve entrar no sistema Academy, clicar no
treinamento Pentest Experience, e em seguida clicar no botão “Exame Final”. Logo
depois fazer o download da sua VPN do exame, e conectar na mesma, para ter
acesso aos hosts a serem explorados;
• A VPN do exame tem validade de 24 h;
• Só é permitido ao aluno interagir sobre o exame com a equipe do Suporte DESEC ou
Admin do Discord DESEC. Esta interação só deve ocorrer para resolver problemas no
ambiente do exame (hosts sem acesso, VPN sem funcionar, etc). O não cumprimento
deste item acarretará a imediata reprovação do aluno;
• Caso o aluno encontre possíveis problemas que estejam impactando negativamente
no seu exame, e não consiga contato com a equipe do Suporte DESEC, deve efetuar
a coleta de todas as evidências (de preferência um vídeo mostrando o ocorrido) para
ser enviado para suporte@desecsecurity.com ao finalizar seu exame. Os pontos
levantados serão analisados pela equipe de auditoria, e podem ou não serem aceitas;
• Não é permitido falar sobre o conteúdo do exame, incluindo compartilhar tela, enviar
captura de tela, comentar sobre qualquer ponto de resolução do mesmo;
• Uso Restrito de Automação Completa: O uso de ferramentas que executam de
forma completamente automatizada a identificação e a exploração de
vulnerabilidades, sem a necessidade de análise ou intervenção do participante, é
proibido. Isso visa evitar soluções que apenas requerem a seleção do alvo e a
ativação da ferramenta para realizar todo o processo;
• Permissão para Uso de Ferramentas e Exploits Públicos: Incentivamos o uso
estratégico de ferramentas automatizadas para tarefas específicas, como identificação
de hosts, serviços e versões, bem como a pesquisa e aplicação de exploits públicos.
O participante deve, no entanto, demonstrar compreensão e habilidade no uso dessas
ferramentas e na aplicação dos exploits, justificando suas escolhas e descrevendo o
processo seguido;
• Exigência de Demonstração de Análise e Intervenção Manual: O participante deve
evidenciar sua capacidade de análise, seleção e aplicação manual de técnicas de
pentest, incluindo a configuração e uso personalizado de ferramentas e exploits.
Espera-se que detalhe o raciocínio por trás das decisões tomadas durante o exame,
demonstrando não apenas o que foi feito, mas como e por que foi feito;
• A DESEC orienta o aluno a utilizar as ferramentas vistas no treinamento Novo Pentest
Profissional - NPP;

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

 • Um dos principais objetivos dessa FASE I é avaliar habilidades em identificar e
explorar vulnerabilidades com o mínimo de automatização;
• Um dos principais objetivos dessa FASE I é comprovar que, se necessário, num
ambiente real de um cliente o aluno saberá utilizar ferramentas manuais evitando
"derrubar" aplicações sensíveis, ou fazer muito "barulho";
• Não é permitido falsificações (IP, ARP, DNS, etc);
• Não é permitido acessar qualquer endereço IP que não faça parte do escopo do seu
exame;
• Não é permitido o download de qualquer aplicativo, arquivo ou código-fonte do
ambiente do exame para sua máquina local. A menos que seja necessário para
comprometer o host alvo. Ocorrendo, o mesmo deve ser excluído após o uso;
• O reset do host faz com que ele retorne ao seu estado original, ou seja, quaisquer
alterações feitas pelo aluno serão perdidas;
• O aluno tem 24 h para finalizar o exame prático (FASE I);
• O aluno poderá resetar cada máquina (host) do exame até 20 vezes;
• Oscilações que possam ocorrer na página do exame (Academy) não tem impacto no
ambiente prático nem no uso da VPN, pois são ambientes distintos;
• O exame prático encerra oficialmente após o término das 24 h ou após o aluno
submeter a última chave (key) válida no sistema (Academy);
• O aluno, preferencialmente, só deve submeter a última key no sistema após a coleta
de todas as evidências necessárias para elaboração do relatório;
• O aluno será considerado aprovado na primeira fase se a pontuação máxima for
alcançada, ou seja, todas as keys válidas submetidas ao sistema dentro do prazo de
24 h;
• Caso a pontuação máxima (todas as keys válidas submetidas ao sistema) não seja
atingida a reprovação ocorre de forma automática;
• O aluno receberá um e-mail após a conclusão do exame com informações sobre essa
fase;
• A não observância de qualquer um dos itens anteriores poderá acarretar a imediata
reprovação do aluno.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

FASE II – ELABORAÇÃO E ENVIO DO RELATÓRIO
• O aluno tem o prazo de 24 h para enviar o relatório;
• O envio do relatório só ficará disponível caso o aluno passe pela FASE I do exame;
• No relatório deve estar descrito o processo de exploração utilizado para cada alvo, em
um formato de relatório de pentest (orientamos que seja utilizado o modelo fornecido
pela DESEC);
• Devem estar documentadas todas as etapas da exploração, comandos executados,
seus retornos, e ainda fontes (URLs) dos artefatos (códigos/payloads) utilizados;
• Se não houver nenhuma modificação em um exploit utilizado, deve ser fornecido
apenas a URL onde o exploit pode ser encontrado. Mas se foi modificado algo no
exploit, então deve ser incluído o código de exploração modificado, a URL para o
código original, alterações efetuadas devem ser detalhadas, e que seja explicado o
motivo dessas mudanças;
• As explorações detalhadas no relatório devem ser acompanhadas de capturas da tela
do alvo, de forma que seja possível comprovar que a ação foi efetuada realmente
naquela máquina;
• As explorações documentadas devem conter o detalhamento suficiente para que a
equipe técnica da contratante ou outra pessoa consiga seguir os passos e explorar o
host da mesma forma;
• A análise do relatório é rigorosa e a falta de informações pode resultar na reprovação
do exame;
• No relatório deve sempre constar a captura de tela do momento em que se conseguiu
acesso ao shell do alvo;
• No relatório deve constar a captura de tela de todas as chaves (keys) encontradas;
• Os comandos efetuados que estejam presentes nas capturas de tela deve estar
presentes no relatório também em formato texto (que seja possível copiar/colar) de
forma que a equipe técnica do cliente possa seguir os passos e explorar o host da
mesma forma sem que seja preciso digitá-los;
• Após concluir o exame (FASE I) e a pontuação máxima for alcançada (todas as keys
válidas submetidas ao sistema), o sistema ativará automaticamente o botão “file
upload” para que o relatório seja enviado;
• A contagem, de 24 horas, para envio do relatório é iniciada assim que a última key
válida é submetida no sistema;
• O aluno deve ler o “Guia do Relatório DCPT” e realizar o download do Template do
Relatório fornecido pela DESEC (ver no tópico modelo de relatório);
• A DESEC fornece o modelo de relatório sugerido nos formatos Microsoft Word e

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

 OpenOffice/LibreOffice (ver no tópico modelo de relatório);
• O formato do relatório, a ser enviado, deve ser PDF;
• Não existe um padrão obrigatório para o nome do relatório, pois o sistema irá
renomeá-lo no momento do envio;
• Caso o relatório não seja enviado no prazo de 24 h o aluno é automaticamente
reprovado. Nesse caso o aluno receberá um e-mail comunicando a reprovação;
• Após enviar o relatório o aluno receberá um e-mail confirmando o envio;
• O aluno não pode compartilhar o seu relatório em nenhum momento;
• O aluno deve prezar pela guarda do seu relatório de forma segura. Caso haja
vazamento do seu conteúdo, de forma integral ou parcial, o aluno pode ter a sua
DCPT cancelada, sendo impedido de obter novamente a certificação.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

ANÁLISE DO RELATÓRIO PELA DESEC
• A análise do relatório ocorre, normalmente, em até 5(cinco) dias úteis contados a
partir do seu recebimento pelo sistema. Eventualmente o prazo de correção pode ser
estendido;
• A banca examinadora poderá encaminhar o relatório para a equipe de auditoria para
que seja realizada uma análise mais detalhada;
• O aluno deve seguir todos as orientações detalhadas no “Guia do Relatório DCPT”
pois a falta de atenção em algum dos pontos pode acarretar a sua reprovação;
• Não será fornecido novo acesso ao ambiente do exame prático para capturar
evidências que possam faltar no relatório.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

FASE EXTRA – INCONSISTÊNCIAS NA FASE II
• Esta etapa não é obrigatória mas pode ocorrer caso o relatório entregue na fase II
apresente alguma inconsistência;
• O aluno será contactado pelo suporte para acordar o agendamento do dia/hora da
FASE EXTRA;
• Na FASE EXTRA o aluno será convidado pelo suporte a explorar um host ao vivo
(duração 1 hora) ou a responder a uma bateria de perguntas técnicas sobre o
conteúdo do relatório enviado;
• O aluno receberá, por e-mail Suporte DESEC (suporte@desecsecurity.com), um link
do Google Meet informando o dia/hora para se conectar;
• Caso o aluno não compareça e não informe o motivo da ausência ocorrerá a
reprovação no exame;
• O aluno deve ativar a sua câmera e apresentar um documento com foto para que o
suporte possa comprovar e registrar a sua identidade. O documento deve comprovar a
identidade cadastrada no sistema do Academy;
• Caso o convite seja para responder uma bateria de perguntas técnicas, sobre o
conteúdo do relatório enviado, o aluno deve abrir a sua câmera de video de forma que
seja possível comprovar sua identidade. E deve mantê-la funcional durante todo o
processo;
• Caso o convite seja para explorar um host ao vivo o aluno receberá uma VPN com
duração de 1 h (uma hora) que deverá ser ativada apenas no momento que o suporte
autorizar, logo após conectar no Google Meet;
• Caso o convite seja para explorar um host, o aluno deve compartilhar a tela para que
o suporte possa acompanhar a resolução da máquina;
• Todo o processo será gravado apenas pela equipe do suporte, o aluno não está
autorizado a gravá-lo, considerando que o conteúdo é sigiloso;
• O suporte iniciará a gravação assim que o aluno entrar no Google Meet;
• Caso o convite seja para explorar um host, o aluno deve detalhar verbalmente cada
passo que está executando, e porque está executando, a medida que for resolvendo o
desafio proposto;
• O suporte vai liberar o desafio e o enunciado do host antes da ativação da VPN pelo
aluno. O aluno só estará autorizado a ativar a VPN quando confirmar que não tem
mais nenhuma dúvida sobre o processo;
• A aprovação ou reprovação será validada pela banca, após assistir a gravação de
todo o processo;
• O resultado final (aprovação/reprovação) da FASE EXTRA será anunciado através do

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

 sistema do exame.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

RETAKE
• Caso ocorra a reprovação do aluno o mesmo pode efetuar a compra de um novo
voucher (retake);
• O aluno que possui o treinamento PP (antes de 2018) e não utilizou ainda esse
voucher, pode utilizá-lo como retake;
• Para liberar o voucher do PP (antigo treinamento) para o exame DCPT envie um e-
mail para suporte@desecsecurity.com fazendo a solicitação;
• O custo para refazer o exame (retake), atualmente, é de R$ 350,00 (trezentos e
cinquenta reais).
• A DESEC pode alterar, sem aviso, o valor atual do retake;
• A compra do retake é feita pela plataforma do Academy.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

MODELO DO RELATÓRIO
• A DESEC orienta o uso de um dos modelos relatório abaixo (formatos Microsoft Word
ou OpenOffice/LibreOffice);
• Formato Microsoft Word:
◦ https://desecsecurity.com/academy/download/Template-Pentest-Externo_v2.docx
◦ SHA256SUM:
▪ 9111d158ab0f83b697f04088102b76831748d2dfb5331fa415e6ce5fd51f7127
• Formato OpenOffice/LibreOffice:
◦ https://desecsecurity.com/academy/download/Template-Pentest-Externo_v2.odt
◦ SHA256SUM:
▪ 413e902527a4ca52d71b0cb0c5cdac3d0c4e0cfcebe92d1f14e9fc37a0b4ee05

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY

CONTATO PARA DÚVIDAS / PROBLEMAS
• Preferencialmente enviar e-mail para suporte@desecsecurity.com, colocando no
assunto o texto “EXAME DCPT”;
• Abrir um Tickets na área de suporte no Academy colocando no assunto o texto
“EXAME DCPT”;
• Entrar em contato pelo Discord DESEC, exclusivamente, com um dos Admins.

GUIA DO RELATÓRIO DCPT V1.0 DESEC SECURITY