June 22, 2026
TryHackMe Dive Into Pentesting (versão em português)
Introdução
By Chris Mineff
20 min read
Introdução
O teste de invasão é uma prática proativa de segurança que ajuda organizações a identificar fraquezas em seus sistemas, aplicações e redes antes que atacantes possam explorá-las. O valor de um pentest continua crescendo à medida que os ambientes modernos se tornam mais complexos. Profissionais que compreendem os fundamentos do teste de invasão conseguem produzir resultados relevantes e comunicar riscos de forma eficaz para as partes interessadas.
Esta sala apresenta os conceitos centrais que todo aspirante a pentester deve conhecer. Ela aborda o que é teste de invasão e como ele se diferencia de atividades maliciosas, as principais áreas de foco durante um pentest e a relação entre vulnerabilidade, ameaça e risco. Também explora por que vulnerabilidades existem, a mentalidade e os hábitos que moldam profissionais eficazes, além dos princípios éticos que fortalecem a relação de confiança com os clientes.
Objetivos de aprendizagem
Distinguir teste de invasão de hacking malicioso com base em autorização, escopo, cobertura e responsabilidade.
Descrever as principais áreas de foco em testes de invasão de aplicações web e redes.
Definir vulnerabilidade, ameaça e risco, e aplicar a relação Vulnerabilidade x Ameaça = Risco para avaliar cenários reais.
Apresentar as quatro etapas do ciclo de gerenciamento de riscos e reconhecer quando riscos são mitigados, aceitos ou transferidos.
Identificar os motivos mais comuns pelos quais vulnerabilidades existem, incluindo pressupostos humanos, bugs de software, complexidade dos sistemas, customização excessiva e falhas técnicas ou de design.
Aplicar a mentalidade e os hábitos de um pentester eficaz, como atenção aos detalhes, pensamento contextual e evitar dependência excessiva de ferramentas ou visão limitada.
Seguir boas práticas durante um engajamento, incluindo manter boas anotações, coletar evidências, gerenciar o tempo, comunicar-se de forma proativa e manter uma postura profissional.
Sustentar os princípios de ética, permissão e confiança ao longo de todo o engajamento, protegendo tanto a organização quanto o próprio profissional.
Pré-requisitos
Esta sala exige conhecimento de conceitos de segurança ofensiva. Caso ainda não tenha feito isso, conclua o módulo abaixo antes de continuar:
Introduction to Offensive Security
Responda à pergunta abaixo:
Vamos mergulhar no mundo do pentest!
<Não é necessário resposta>
Teste de invasão vs. hacking malicioso
O que é teste de invasão?
Teste de invasão, ou pentest, é uma avaliação de segurança autorizada realizada em sistemas, aplicações ou redes. Ele é conduzido com permissão explícita do proprietário do sistema e dentro de limites previamente acordados.
O teste de invasão é importante porque os sistemas modernos são complexos e estão em constante mudança. Esses fatores tornam difícil para as organizações identificarem todas as fraquezas apenas durante as fases de design e desenvolvimento. Mesmo sistemas bem construídos podem conter vulnerabilidades capazes de expô-los a ataques.
Um pentest ajuda a preencher essa lacuna, permitindo que as organizações entendam como essas fraquezas poderiam ser exploradas. Com isso, elas conseguem priorizar correções e reduzir riscos antes que essas falhas sejam exploradas por atacantes.
O teste de invasão é um serviço essencial de segurança por vários motivos. Ele permite que as organizações priorizem os esforços de remediação com base no nível de risco associado às fraquezas encontradas. Também ajuda a proteger a confidencialidade de dados sensíveis de clientes, como informações de pagamento ou informações de identificação pessoal, conhecidas como PII.
Além disso, contribui para a conformidade com diversos frameworks regulatórios e padrões da indústria, como o Payment Card Industry Data Security Standard, conhecido como PCI-DSS, e o General Data Protection Regulation, o GDPR.
Cenários de ataque realistas e a avaliação da postura geral de segurança de uma organização ajudam a verificar se os controles de segurança são realmente eficazes. Esse processo oferece mais confiança à liderança, às partes interessadas e aos clientes, demonstrando que as fraquezas estão sendo tratadas de forma proativa.
Teste de invasão vs. hacking malicioso
Embora pentesters e atacantes maliciosos possam usar ferramentas semelhantes, a forma como eles atuam é completamente diferente. Os principais fatores da tabela abaixo separam o teste de invasão do hacking malicioso:
Responda às perguntas abaixo:
Qual é o termo abreviado comum para teste de invasão?
Resposta: pentesting
Qual ator busca uma cobertura ampla e avalia várias áreas de um sistema?
Resposta: Penetration tester
Qual ator foca no caminho mais rápido para alcançar o sucesso?
Resposta: Attacker
Áreas de foco do teste de invasão
Em um teste de invasão, a cobertura é essencial para avaliar de forma completa a postura geral de segurança de uma organização. Para alcançar uma cobertura significativa, é importante compreender as diferentes áreas que um pentester analisa. Esta tarefa abordará áreas avaliadas durante testes de invasão em aplicações web e em redes.
Teste de invasão em aplicações web
O teste de invasão em aplicações web foca na identificação de lacunas e fraquezas em uma aplicação web. Os testes geralmente são realizados a partir da perspectiva de um usuário, por meio da interação com a interface da aplicação e com suas APIs.
O objetivo é avaliar como a aplicação lida com entradas de usuários, autenticação, autorização, sessões e processamento de dados. Fraquezas em aplicações web podem gerar grande impacto para seus usuários, pois essas aplicações normalmente ficam expostas à Internet.
O diagrama acima mostra uma interação simples entre um pentester, uma aplicação web e seus componentes. Em um teste de invasão de aplicação web, a aplicação é avaliada em busca de fraquezas em diferentes áreas, como autenticação, autorização, gerenciamento de sessões, validação de entrada e saída, e configuração de segurança.
Autenticação: essa área é avaliada em busca de fraquezas no tratamento de credenciais pela aplicação, na política de senhas, nos mecanismos de bloqueio de conta, na implementação de autenticação multifator — ou MFA — , na proteção contra ataques automatizados, como força bruta e credential stuffing, no fluxo de redefinição de senha e na lógica geral relacionada à autenticação.
Autorização: essa área é avaliada em busca de fraquezas nos mecanismos de controle de acesso da aplicação, garantindo que os usuários só possam acessar recursos e executar ações permitidas por sua função, além da proteção contra ataques de escalação de privilégios vertical e horizontal.
Gerenciamento de sessões: essa área é avaliada em busca de fraquezas na forma como as sessões são criadas, mantidas e invalidadas. Isso inclui riscos de session fixation, invalidação da sessão após logout, aplicação de timeout por inatividade, atributos seguros em cookies e proteção contra Cross-Site Request Forgery, ou CSRF.
Validação de entrada e saída: essa área é avaliada em busca de fraquezas nos controles de tratamento de dados da aplicação, incluindo proteção contra ataques de injeção, validação de tipos de dados e tratamento das saídas exibidas ao usuário.
Configuração de segurança: essa área é avaliada em busca de lacunas nas configurações do servidor e da aplicação, incluindo cabeçalhos de segurança, comportamento no tratamento de erros, controles de rate limiting, configuração criptográfica e exposição de serviços ou funcionalidades desnecessárias.
Teste de invasão em redes
O teste de invasão em redes foca na identificação de vulnerabilidades na infraestrutura subjacente que conecta os sistemas entre si. Os testes podem ser realizados a partir da perspectiva de um usuário externo ou interno.
O teste de invasão em rede externa é realizado a partir da perspectiva de um usuário externo, com pouco ou nenhum acesso a informações sobre os sistemas expostos externamente. Esse tipo de avaliação foca na infraestrutura voltada para a Internet, como servidores expostos, firewalls, gateways VPN e serviços de acesso remoto.
O objetivo é avaliar como esses sistemas estão expostos e analisar os controles de segurança que os protegem contra usuários não autorizados.
Já o teste de invasão em rede interna parte de um cenário de "violação presumida", no qual um agente de ameaça já possui acesso a um sistema dentro da rede. Esse tipo de avaliação analisa o que um atacante poderia fazer em seguida, como movimentar-se entre sistemas, escalar privilégios ou acessar dados sensíveis.
O objetivo é avaliar relações de confiança, controles de acesso e segmentação de rede para identificar configurações fracas e determinar se os controles de segurança conseguem limitar o impacto de um comprometimento.
O diagrama acima mostra uma interação simples entre um pentester e uma rede, tanto a partir de uma perspectiva externa quanto interna.
Mecanismos de autenticação: essa área é avaliada em busca de fraquezas nos controles de autenticação em nível de rede, como política de senhas, aplicação de autenticação multifator — ou MFA — , reutilização de credenciais, uso de credenciais padrão e proteção contra ataques a serviços como portais administrativos, VPN, SSH ou RDP.
Autorização e controles de acesso: essa área é avaliada em busca de fraquezas nos mecanismos de controle de acesso à rede, garantindo que usuários e sistemas só possam acessar recursos permitidos por sua função ou nível de confiança.
Segmentação de rede e relações de confiança: essa área é avaliada em busca de fraquezas nas relações de confiança entre usuários e sistemas, nas regras de firewall e nos controles de isolamento.
Gerenciamento de configuração e patches: essa área é avaliada em busca de lacunas nas configurações de dispositivos e serviços, como uso de softwares desatualizados, configurações padrão inseguras e protocolos criptográficos fracos.
Em última análise, aplicações web e redes modernas são construídas com diferentes componentes e sistemas interconectados. Identificar a superfície de ataque ajuda as organizações a encontrar todos os pontos de entrada que podem conter fraquezas e permitir acesso não autorizado a agentes de ameaça.
Além disso, isso ajuda a definir o escopo de um teste de invasão antes da execução do engajamento.
Responda às perguntas abaixo:
Que tipo de teste de invasão em rede foca na infraestrutura exposta à Internet a partir da perspectiva de um usuário não autorizado?
Resposta: External
Durante os testes, você descobriu que os cookies de sessão continuam válidos depois que o usuário sai da aplicação. Em qual área de foco de teste esse problema se encaixa?
Resposta: Session management
Vulnerabilidade, ameaça e risco
Vulnerabilidade, ameaça e risco são conceitos centrais em segurança cibernética e costumam ser usados em conjunto. Eles permitem que as organizações avaliem e gerenciem suas preocupações de segurança de forma estruturada.
Como pentester, compreender a relação entre esses conceitos permite comunicar com clareza as descobertas e sua importância para as partes interessadas.
Vulnerabilidade
Uma vulnerabilidade é uma fraqueza ou lacuna no ambiente de uma organização que pode ser explorada para comprometer a segurança de sistemas, dados ou operações. Embora ela não cause dano por si só, cria uma oportunidade para exploração.
Existem muitos tipos de vulnerabilidades. Para simplificar, vamos focar nas vulnerabilidades técnicas, que são fraquezas em softwares, sistemas ou configurações que podem ser exploradas devido a erros de código, configurações inseguras ou falhas no desenho do sistema.
Por exemplo, um servidor web executando um software desatualizado com falhas conhecidas representa uma vulnerabilidade. A fraqueza existe, mas nada acontece até que alguém se aproveite dela.
Ameaça
Uma ameaça é qualquer coisa que possa explorar uma vulnerabilidade e causar danos ao ambiente de uma organização. Ela representa uma fonte de perigo capaz de se aproveitar de uma fraqueza para comprometer a confidencialidade, a integridade e a disponibilidade dos sistemas da organização.
As ameaças podem incluir agentes maliciosos, como cibercriminosos, ameaças internas ou ferramentas usadas para realizar ataques automatizados. Elas também podem envolver eventos não maliciosos, como falhas de sistema, erro humano ou incidentes ambientais.
Por exemplo, um atacante varrendo a Internet em busca de servidores desatualizados é uma ameaça. Ele possui a capacidade e a intenção de explorar a vulnerabilidade.
Mais recentemente, atacantes vêm utilizando inteligência artificial — ou IA — para automatizar ataques, descobrir fraquezas em larga escala e acelerar a exploração. Isso torna a IA uma ameaça significativa em ambientes modernos, devido à sua capacidade de aumentar a velocidade e a sofisticação dos ataques.
Risco
Risco é o dano potencial que pode ocorrer caso uma ameaça explore uma vulnerabilidade com sucesso. Podemos determinar o risco geral de uma vulnerabilidade combinando o impacto e a probabilidade de exploração. Em alguns casos, uma vulnerabilidade que parece inofensiva pode representar um risco significativo se afetar sistemas críticos. Por outro lado, uma vulnerabilidade que parece grave pode causar apenas um risco mínimo se estiver presente em um ambiente isolado.
A fórmula abaixo é comumente usada para simplificar o cálculo do risco geral:
Vulnerabilidade x Ameaça = Risco
Essa fórmula é um modelo simplificado, usado para ilustrar a relação entre os fatores envolvidos, e não um cálculo formal de risco. Uma vulnerabilidade, sozinha, não representa risco se não houver uma ameaça capaz de explorá-la. Da mesma forma, uma ameaça não consegue causar impacto se não existir uma vulnerabilidade a ser explorada.
Abaixo estão exemplos práticos de como o risco pode ser avaliado.
Baixo risco
Imagine que uma aplicação web exiba mensagens de erro detalhadas quando uma entrada inválida é enviada.
Vulnerabilidade: mensagens de erro excessivamente detalhadas, revelando caminhos internos de arquivos.
Ameaça: atacantes provocando erros para coletar informações sobre o sistema.
Risco: divulgação limitada de informações, que pode ajudar na fase de reconhecimento, mas não compromete diretamente o sistema.
Alto risco
Imagine uma aplicação web que permite aos usuários alterar o parâmetro de ID de uma conta em uma requisição e acessar dados de outros usuários.
Vulnerabilidade: controle de acesso quebrado, permitindo acesso não autorizado a dados de usuários.
Ameaça: atacantes modificando parâmetros da requisição para obter ou alterar outras informações sensíveis de usuários.
Risco: exposição ou manipulação de dados sensíveis de clientes, levando a violações de privacidade e consequências regulatórias.
Gerenciamento de riscos
O gerenciamento de riscos é um processo estruturado que muitas organizações utilizam para identificar, avaliar e controlar riscos de segurança ao longo do tempo. Um gerenciamento de riscos eficaz significa entender quais riscos são mais relevantes e aplicar controles adequados para eliminar ou reduzir seu impacto ou sua probabilidade de exploração.
O gerenciamento de riscos normalmente é um ciclo contínuo composto por quatro etapas:
Identificação: identificar ativos, vulnerabilidades e ameaças potenciais que possam afetar a organização.
Análise: avaliar os riscos para determinar o impacto potencial e a probabilidade de exploração. Isso se traduz na severidade de cada risco e ajuda a planejar os esforços de remediação.
Mitigação: reduzir ou controlar os riscos identificados. Isso pode incluir aplicar patches de segurança, fortalecer controles de acesso, melhorar configurações, implementar ferramentas de monitoramento ou redesenhar processos inseguros.
Monitoramento: acompanhar continuamente os riscos para garantir que os controles permaneçam eficazes, que novas vulnerabilidades sejam detectadas e que ameaças emergentes sejam tratadas rapidamente.
Em alguns casos, as organizações podem optar por aceitar ou transferir um risco quando a mitigação não é prática ou não é economicamente viável. Aceitar um risco geralmente é uma escolha quando o impacto é mínimo e o custo para reduzi-lo supera o benefício. Transferir um risco significa deslocar a responsabilidade para um terceiro, como contratar uma apólice de seguro que cubra os custos associados ao risco.
Um exemplo de aceitação de risco ocorre quando uma empresa descobre que sua aplicação web interna exibe a versão do servidor no cabeçalho de resposta. A empresa decide aceitar o risco porque a versão está atualizada, a aplicação é exposta apenas internamente e não contém dados sensíveis. No entanto, mitigar esse risco seria caro e exigiria tempo e recursos.
Por outro lado, um exemplo de transferência de risco ocorre quando uma empresa opera uma plataforma online que armazena informações pessoais e dados de pagamento de seus clientes. A empresa decide transferir o risco contratando uma apólice de seguro cibernético para cobrir o custo financeiro caso ocorra uma violação de dados. Mesmo com controles de segurança implementados e eficazes, o risco não pode ser totalmente eliminado.
Responda às perguntas abaixo:
Uma organização corrigiu uma falha de alta severidade que você reportou. Em qual etapa do ciclo de gerenciamento de riscos essa atividade se encaixa?
Resposta: Mitigation
Uma vulnerabilidade de SQL injection apresentaria um risco maior em uma aplicação exposta externamente ou em uma aplicação acessível apenas internamente?
Resposta: External-facing application
Por que as vulnerabilidades existem
Vulnerabilidades podem surgir a partir de falhas, funcionalidades ou erros humanos, resultando no comprometimento de dados e recursos. Atacantes podem explorar uma ou mais dessas fraquezas para alcançar seus objetivos. Nesta tarefa, veremos alguns dos motivos mais comuns pelos quais vulnerabilidades existem.
Pressupostos humanos
Desenvolvedores que não têm uma mentalidade voltada à segurança muitas vezes assumem que os usuários utilizarão os sistemas exatamente como foram planejados. Atacantes desafiam intencionalmente essa suposição, usando os sistemas de formas não previstas para expor fraquezas.
Por exemplo, um desenvolvedor pode presumir que os usuários enviarão apenas arquivos de imagem como foto de perfil. A ausência de controles de validação de arquivos permite que um atacante envie um script malicioso, que então é executado pelo servidor.
Bugs de software
Erros de programação podem introduzir comportamentos não intencionais capazes de representar riscos de segurança. Esses problemas podem surgir de falhas de lógica ou validações incompletas. Um código mal escrito pode até funcionar conforme o esperado, mas ainda assim ser falho se não tiver sido desenvolvido de forma segura.
Por exemplo, uma aplicação web pode falhar ao validar corretamente entradas ao processar dados de um formulário que interage com um banco de dados. Um atacante envia uma entrada especialmente criada para alterar a consulta SQL, permitindo obter acesso não autorizado a dados sensíveis.
Complexidade dos sistemas
Ambientes modernos são compostos por muitos componentes interconectados, como APIs, microsserviços, bancos de dados e integrações de terceiros. Em ambientes complexos, a probabilidade de uma configuração incorreta acontecer é maior, o que pode levar a uma vulnerabilidade explorável.
Por exemplo, uma empresa com vários serviços integrados à sua aplicação web — como um provedor de autenticação ou um processador de pagamentos terceirizado — pode deixar passar uma configuração incorreta que expõe APIs administrativas. Devido à complexidade das interações entre esses componentes, essa configuração permite que um atacante acesse APIs administrativas críticas que não deveriam estar expostas.
Customização excessiva
A customização extensa de softwares ou fluxos de trabalho pode introduzir inconsistências e lacunas de segurança não intencionais. Funcionalidades personalizadas podem não seguir práticas de segurança consolidadas, e sistemas muito modificados podem ser difíceis de manter, atualizar ou corrigir adequadamente.
Por exemplo, uma organização que desenvolve um recurso próprio de autenticação, em vez de utilizar um framework padrão de login, pode implementar sua própria lógica de armazenamento de senhas, gerenciamento de sessões e recuperação de contas para atender a requisitos internos. No entanto, essas customizações podem se tornar difíceis de manter ao longo do tempo. Com isso, podem ficar desatualizadas e levar a práticas inseguras, como algoritmos de hash fracos ou timeouts de sessão inconsistentes.
Falhas técnicas e de design
Falhas técnicas e de design podem ocorrer quando a segurança não é incorporada desde o início do projeto. A origem dessas falhas pode não ser intencional, mas ainda assim representar um grande risco para a segurança de uma organização.
Por exemplo, ao implementar autenticação multifator em uma aplicação web existente, os desenvolvedores podem adicionar o recurso, mas deixar passar um problema no design anterior: a aplicação emite um cookie de sessão totalmente autenticado antes que o processo de MFA seja concluído. Esse descuido permite que um atacante acesse páginas autenticadas sem concluir a autenticação multifator.
Causas comuns e vulnerabilidades resultantes
A tabela abaixo relaciona cada causa comum a uma vulnerabilidade resultante que um atacante poderia explorar.
Responda à pergunta abaixo:
Um desenvolvedor implementou uma funcionalidade de "Upload de Currículo" em um portal de carreiras sem aplicar controles de segurança. Qual é a causa que poderia levar a uma vulnerabilidade de upload irrestrito de arquivos?
Resposta: Human Assumptions
A mentalidade do pentest
Habilidades técnicas, por si só, não são suficientes para definir a proficiência de um pentester. Embora seja importante entender como vulnerabilidades podem ser exploradas, saber conduzir testes de invasão de forma eficaz é igualmente valioso. Esta tarefa aborda alguns comportamentos e hábitos que ajudam pentesters a produzir resultados relevantes.
Mentalidade boa vs. mentalidade ruim durante um teste de invasão
Para produzir resultados significativos em um teste de invasão, é essencial adotar uma abordagem metódica e estruturada. Além disso, a capacidade de se adaptar a ambientes em constante mudança é fundamental para manter a qualidade em diferentes avaliações. Ter uma base sólida e um processo bem definido não apenas ajuda a alcançar uma cobertura abrangente, como também garante que o risco geral seja avaliado corretamente.
Uma boa mentalidade ao realizar testes de invasão inclui diversas qualidades. Os exemplos a seguir destacam características que ampliam essas qualidades:
Entender o sistema: na maioria dos casos, os sistemas se comportam de maneiras diferentes. Ter uma compreensão sólida de como o alvo funciona ajuda o pentester a se planejar melhor e obter contexto para explorar possíveis oportunidades de exploração.
Atenção aos detalhes: observar como a aplicação se comporta e perceber pequenas diferenças em determinados cenários frequentemente resulta em descobertas de grande impacto.
Curiosidade constante: fazer perguntas do tipo "E se…?" ajuda a descobrir muitas ideias que podem ser exploradas e abrir novas oportunidades para identificar fraquezas.
Priorizar áreas críticas: focar primeiro em funções de alto impacto, antes de recursos de menor risco, garante que o esforço seja direcionado para áreas em que problemas de segurança causariam maior impacto ao negócio.
Pensar em contexto: entender como uma funcionalidade é usada e quais dados ela manipula ajuda a avaliar o risco com mais precisão. Isso permite que os achados sejam analisados com base em consequências reais, e não apenas na severidade técnica.
Pensamento criativo: sistemas mais fortalecidos geralmente criam a impressão de que não existem fraquezas. Abordá-los com criatividade permite que o pentester identifique falhas que poderiam passar despercebidas. Essa abordagem pode envolver o encadeamento de duas vulnerabilidades para alcançar um impacto maior.
Uma mentalidade ruim durante testes de invasão pode reduzir a qualidade da avaliação e levar a achados perdidos ou imprecisos. Os exemplos a seguir destacam características que podem resultar em testes pouco confiáveis:
Correr direto para a exploração: atacar um sistema sem entender como ele funciona frequentemente leva à perda de fraquezas importantes. Além disso, essa abordagem pode aumentar o risco de interromper sistemas, o que pode gerar limitações durante os testes.
Ignorar o contexto: focar apenas no sucesso técnico, sem considerar o impacto para o negócio, pode resultar em achados sem relevância prática no mundo real.
Dependência excessiva de ferramentas: depender demais de ferramentas automatizadas, sem análise adequada, pode gerar falsos positivos ou deixar passar problemas de lógica que exigem testes manuais.
Fazer suposições: presumir como um sistema ou funcionalidade funciona, sem verificar, pode fazer com que o pentester ignore comportamentos importantes.
Visão em túnel: é fácil ficar fixado em uma única funcionalidade, especialmente quando o pentester acredita que ela levará a um achado crítico. Esse comportamento geralmente desperdiça tempo, reduz a cobertura e impede a exploração de outras áreas que podem conter fraquezas mais significativas.
Seguir uma checklist cegamente: embora uma checklist abrangente seja útil para garantir cobertura, depender demais dela pode reduzir a capacidade do pentester de pensar de forma criativa e levar à perda de oportunidades para achados mais relevantes. Além disso, pode criar a falsa sensação de que o teste terminou assim que a checklist foi concluída.
A tabela abaixo resume o contraste entre mentalidades eficazes e ineficazes durante um teste de invasão.
Boas práticas comuns durante um teste de invasão
Aplicar boas práticas ao longo de um teste de invasão ajuda a manter a consistência e melhora a qualidade geral do engajamento. Os exemplos a seguir destacam hábitos comuns que fortalecem o processo de teste e aumentam o valor dos resultados finais.
Manter boas anotações
Manter anotações detalhadas durante todo o teste de invasão ajuda o pentester a acompanhar suas atividades, descobertas e observações conforme a avaliação avança. Boas anotações facilitam a reprodução de problemas posteriormente, caso seja necessário, e garantem que nada importante seja esquecido.
Por exemplo, se uma vulnerabilidade for descoberta logo no início da avaliação, anotações detalhadas permitem que o pentester volte a ela mais tarde sem precisar repetir todo o processo.
Coletar evidências
Assim como manter boas anotações, coletar evidências — como capturas de tela, saídas de ferramentas ou logs — sustenta a validade dos achados e fornece uma prova clara do impacto. Coletar evidências durante os testes ajuda a economizar tempo, evitando a reprodução desnecessária de problemas durante a elaboração do relatório, algo que poderia consumir bastante tempo.
Gerenciar o tempo
Testes de invasão são realizados dentro de prazos definidos. Gerenciar o tempo de forma eficaz permite que o pentester distribua o esforço entre diferentes áreas e garanta que tempo suficiente seja dedicado às funções críticas e à elaboração do relatório. Em vez de passar horas analisando uma funcionalidade de baixo impacto, é melhor priorizar mecanismos de autenticação ou controle de acesso, onde falhas de segurança teriam impacto maior.
Além disso, trabalhar no relatório ao longo do caminho é um bom hábito que ajuda significativamente no gerenciamento do tempo. Muitas vezes, o esforço de documentação está incluído no prazo do engajamento, e garantir que ele seja realizado dentro desse período é essencial para evitar sobrecarga e entregar os resultados no prazo.
Um cenário em que relatar durante o processo se torna útil ocorre quando um achado de risco crítico é descoberto perto do fim do engajamento. Documentar novos achados junto aos já existentes e coletar evidências pode consumir bastante tempo. Isso pode gerar pressão desnecessária, especialmente quando o engajamento está prestes a terminar.
Comunicação proativa
Manter uma comunicação proativa durante um teste de invasão ajuda a manter o engajamento no caminho certo, fornecendo atualizações regulares de progresso e destacando bloqueios com antecedência. Comunicar obstáculos permite que os problemas sejam tratados o mais rápido possível.
Embora nenhum engajamento seja perfeito, a comunicação proativa garante que o esforço possa ser redirecionado quando necessário, que suporte possa ser fornecido e que o impacto geral na cobertura seja reduzido.
Manter o profissionalismo
Uma postura profissional ao longo de todo o ciclo de vida do teste de invasão constrói confiança entre o pentester e a organização avaliada. Respeitar os limites de escopo, tratar dados sensíveis com responsabilidade e conduzir os testes de forma controlada são alguns dos hábitos essenciais para manter o profissionalismo.
O profissionalismo também se aplica à forma de comunicar um achado às partes interessadas. Explicar o impacto de negócio de uma descoberta, em vez de apresentar apenas detalhes técnicos, ajuda os stakeholders a compreenderem sua importância. Isso também reforça a credibilidade e a confiabilidade do pentester.
Responda às perguntas abaixo:
Qual característica inclui atacar sem entender como uma funcionalidade ou sistema funciona?
Resposta: Rushing to exploitation
Qual boa prática comum ajuda a reproduzir achados posteriormente?
Resposta: Maintaining good notes
Qual boa prática comum pode ajudar a evitar que bloqueios impactem a cobertura de um teste de invasão?
Resposta: Proactive communication
Ética, permissão e confiança
Ética, permissão e confiança são três princípios que devem ser considerados para garantir que as avaliações sejam conduzidas de forma profissional. Como o teste de invasão frequentemente exige acesso a sistemas e dados sensíveis, aplicar esses princípios é essencial para proteger os ativos da organização e minimizar riscos ao longo da avaliação. Seguir esses princípios garante que as atividades estejam alinhadas aos objetivos da organização.
Ética
A ética em testes de invasão é demonstrada pela avaliação responsável de sistemas que podem conter dados sensíveis ou funcionalidades críticas. O comportamento ético ajuda o pentester a tomar decisões responsáveis durante toda a avaliação, garantindo que suas ações sejam intencionais e justificadas.
Alguns exemplos de como o comportamento ético é aplicado na prática durante um teste de invasão incluem:
Respeitar o escopo definido e evitar atividades fora dos limites autorizados.
Evitar ações que possam interromper sistemas e serviços.
Tratar dados sensíveis de forma responsável e acessar apenas os dados necessários para demonstrar impacto.
Interromper a atividade e reportar acessos inesperados a sistemas altamente sensíveis ou fora do escopo.
Ocultar ou mascarar dados sensíveis nos relatórios para evitar divulgação não intencional.
Permissão
A permissão em testes de invasão é estabelecida por meio de autorização formal e de um escopo claramente definido antes da execução do engajamento. Obter a autorização adequada garante que todas as atividades sejam aprovadas pela organização avaliada e estejam alinhadas às suas expectativas e objetivos.
Os exemplos a seguir mostram como a permissão é respeitada na prática durante um teste de invasão:
Obter autorização por escrito antes de iniciar qualquer atividade de teste.
Definir um escopo claro e seguir o escopo de teste acordado.
Confirmar janelas de teste e métodos aprovados antes de conduzir ações potencialmente disruptivas.
Buscar esclarecimento quando houver dúvida sobre se um sistema ou ação está dentro do escopo.
Pausar as atividades e notificar a organização caso alguma ação possa exceder os limites autorizados.
Confiança
Inicialmente, organizações podem ser cautelosas ao permitir que testadores externos avaliem seus sistemas. No entanto, muitas delas dependem de avaliações independentes realizadas por terceiros para analisar e melhorar adequadamente sua postura de segurança. Por isso, estabelecer confiança desde o início é muito importante.
Os exemplos abaixo mostram como a confiança pode ser construída e mantida durante um teste de invasão:
Fornecer atualizações periódicas de status para tranquilizar os stakeholders de que os testes estão avançando conforme planejado.
Ser transparente sobre limitações, bloqueios e incertezas durante os testes para receber o suporte adequado.
Reportar achados com precisão e demonstrar claramente o impacto para o negócio.
Fornecer recomendações acionáveis que ajudem a eliminar ou mitigar riscos.
Responder prontamente às preocupações da organização e adaptar o estilo de comunicação para públicos técnicos e não técnicos.
Ética, permissão e confiança são princípios que permitem que o teste de invasão exista como uma prática profissional de segurança. Esses princípios garantem que os testes sejam realizados de forma profissional e completa, ao mesmo tempo em que protegem tanto o pentester quanto os sistemas avaliados.
Ao aplicar esses princípios de forma consistente durante todo o engajamento, pentesters ajudam a preservar a credibilidade do teste de invasão como uma prática de segurança confiável, responsável e profissional.
Responda às perguntas abaixo:
O que define os limites durante um teste de invasão?
Resposta: Scope
Que tipo de impacto os achados devem demonstrar claramente?
Resposta: Business impact
Que tipo de dado deve ser removido dos relatórios para evitar divulgação não intencional?
Resposta: Sensitive data
Recapitulação do conhecimento
Nesta sala, exploramos o teste de invasão como uma disciplina profissional focada em compreender sistemas, avaliar riscos e pensar de forma crítica, em vez de simplesmente explorar vulnerabilidades. Um teste eficaz exige contexto sobre o sistema avaliado para gerar resultados realmente significativos. As fraquezas descobertas só se tornam relevantes quando o impacto para o negócio é demonstrado com clareza.
Também abordamos hábitos que contribuem para testes mais eficazes, além de comportamentos que podem reduzir a qualidade de uma avaliação. Com a mentalidade correta, comportamento ético e postura profissional, os engajamentos podem produzir resultados valiosos e construir confiança entre pentesters e organizações.
Leve adiante o conhecimento desta sala à medida que avança na sua jornada para se tornar um pentester responsável. As técnicas práticas que você aprenderá a seguir serão muito mais eficazes quando apoiadas pelos princípios e abordagens apresentados nesta sala.
Avaliação prática
Clique no botão View Site abaixo para iniciar uma atividade interativa. Essa atividade foi preparada para verificar sua compreensão dos tópicos abordados nesta sala.
Sua tarefa é ajudar um tester a determinar a melhor decisão que ele pode tomar para manter o profissionalismo durante uma avaliação. Ao concluir a tarefa, cole a flag apresentada como resposta à pergunta abaixo.
Responda à pergunta abaixo:
Conclua a tarefa e envie a flag.
Resposta: THM{L3t$_d1v3_1nt0_Pen7es71ng!}
