Pentest - Parte 1

TESTES DE PENETRAÇÃO
Conceitos iniciais
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br
CONCEITOS INICIAIS
Este curso será dedicado ao entendimento dos conteúdos voltados para a parte
forense, que é muito utilizada por organizações para verificar as vulnerabilidades pre-
sentes dentro dela, bem como é utilizada muito pelos atacantes.
PENETRATION TESTING OU PENTEST
Os principais aspectos são:

• É um teste de intrusão ou penetração.
• Consiste numa bateria de testes que seguem uma metodologia.
• Empregada por corporações visando encontrar vulnerabilidades que comprometam
a segurança.
Eles são aplicados a:

• Sistemas operacionais;
• Redes;
• Sites; e
• Banco de dados etc.
Ele visa descobrir, mapear e expor possíveis vulnerabilidades de segurança.

Conforme supracitado, ele também é utilizado por criminosos virtuais. Dentre as
consequências que poderão acarretar ao alvo, tem-se:
• Disseminação de informações confidenciais;
• Sequestro de senhas de acesso aos servidores;
• Roubo de senhas de internet banking;
• Instalação de vírus e backdoors;
• Utilização dos computadores para outras atividades maliciosas (botnet).
O botnet permite ao atacante controlar remotamente um equipamento.

• Perda financeira por indisponibilidade de serviços.
PLANEJAMENTO – ESCOPO
Quando se planeja realizar um PenTest, a primeira coisa a se fazer é determinar um

escopo, ou seja, levanta-se os objetivos pretendidos com o cliente, como por exemplo:
5m
• Quais os endereços IPs ou hosts;
• Tipo de ação (avaliação ou desativação de serviços);
• Permissão para uso de engenharia social, negação de serviço etc.
www.grancursosonline.com.br 1
Conceitos iniciais
Lembre-se de que a engenharia social se utiliza de técnicas para persuadir a pessoa e

obter dela o que se deseja, ou seja, há uma exploração da vulnerabilidade emocional para
obter senhas, usuários e passe o acesso a esse atacante.
PLANEJAMENTO – JANELAS
São os horários e dias acordados com o cliente para a realização dos testes, evitando
a indisponibilidade de serviços.
Essa indisponibilidade pode causar perdas financeiras e perdas de imagem da orga-
nização. Portanto, é importante que essa janela de teste seja definida.
PLANEJAMENTO – INFORMAÇÕES DE CONTATO
Caso haja a descoberta de alguma vulnerabilidade séria, quem contatar? Se a comu-

nicação deverá ser criptografada? Se o contato poderá ser a qualquer hora ou em horá-
rios preestabelecidos?
10m
Nesse caso, todas essas perguntas devem ter respostas para elaborar um tipo de
protocolo no caso de descoberta da vulnerabilidade.
PLANEJAMENTO – AUTORIZAÇÃO
Obtenha autorização por escrito para a realização do teste. O contrato deverá conter
cláusula que limite sua responsabilidade nos casos em que algo inesperado aconteça.
Ex.: o próprio risco de haver a indisponibilidade, por exemplo, deve ser um risco que o
contratado não pode se responsabilizar, de tal forma que o contratante entenda o risco.
PLANEJAMENTO – ACORDO DE CONFIDENCIALIDADE
Cláusula contratual constando o compromisso do auditor na manutenção do sigilo

das informações encontradas.
Conceitos iniciais
01. (CESPE/CEBRASPE/MINISTÉRIO DA ECONOMIA/TECNOLOGIA DA INFORMAÇÃO/

SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS/2020) Julgue o seguinte item, a
respeito de testes de invasão (pentest) em aplicações web, banco de dados, sistemas
operacionais e dispositivos de redes.
Antes de iniciar o teste de invasão, deve-se ter um contrato assinado entre as partes
envolvidas, para definir o escopo da atividade, os tipos de testes a serem realizados e a
autorização para sua execução.
15m
Observe que, para responder a essa questão, é necessário que o candidato saiba quais são as
etapas necessárias a serem realizadas antes de se iniciar o teste de penetração. Conforme
visto neste bloco, os principais aspectos a serem observados são: escopo das atividades,
definição dos equipamentos que serão auditados, quais as ações que podem ser realizadas,
os tipos de testes a serem realizados e a própria autorização por escrito.
GABARITO
1. C
��Este material foi elaborado pela equipe pedagógica do Gran Concursos, de acordo com a aula
preparada e ministrada pelo professor Jósis Alves.
A presente degravação tem como objetivo auxiliar no acompanhamento e na revisão do con-
teúdo ministrado na videoaula. Não recomendamos a substituição do estudo em vídeo pela lei-
tura exclusiva deste material.

Pentest - Parte 1

Enviado por

Direitos autorais:

Formatos disponíveis

Pentest - Parte 1

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Pentest - Parte 1

Enviado por

Direitos autorais:

Formatos disponíveis

TESTES DE PENETRAÇÃO

PENETRATION TESTING OU PENTEST

Os principais aspectos são:

Eles são aplicados a:

Ele visa descobrir, mapear e expor possíveis vulnerabilidades de segurança.

O botnet permite ao atacante controlar remotamente um equipamento.

Quando se planeja realizar um PenTest, a primeira coisa a se fazer é determinar um

Lembre-se de que a engenharia social se utiliza de técnicas para persuadir a pessoa e

PLANEJAMENTO – INFORMAÇÕES DE CONTATO

Caso haja a descoberta de alguma vulnerabilidade séria, quem contatar? Se a comu-

PLANEJAMENTO – ACORDO DE CONFIDENCIALIDADE

Cláusula contratual constando o compromisso do auditor na manutenção do sigilo

01. (CESPE/CEBRASPE/MINISTÉRIO DA ECONOMIA/TECNOLOGIA DA INFORMAÇÃO/

Você também pode gostar