🔐
Security
  • Dicas
    • Cursos
    • Certificações
  • Segurança da Informação
    • Visão Geral
  • CiberSegurança
    • Ataques Cibernéticos
    • Proteção de Perímetro
      • Boas Práticas
    • Network Protection
    • Endpoint Protection
    • Aplication Protection
    • Data Protection
    • Cloud Protection
    • Tips for personal security
    • LGPD
    • Ferramentas
  • Ethical Hacking
    • Conceitos Legais
    • Pentest
      • Penetration Test
  • Introdução (CISCO)
    • 1. Introdução à Segurança Cibernética
      • 1.2 Dados Organizacionais
      • 1.3 O que foi roubado
      • 1.4 Invasores cibernéticos
      • 1.5 Guerra cibernética
    • 2. Ataques, Conceitos e Técnicas
      • 2.2 Métodos de infiltração
      • 2.3 Exploits e vulnerabilidade de segurança
      • 2.4 O Cenário da Cibersegurança
    • 3. Protegendo seus dados e privacidade
      • 3.2 Manutenção de Dados
      • 3.3 Quem é o dono dos seus dados?
  • Segurança e Privacidade
    • Governança e privacidade dos dados
  • Autorização
    • Roles & Grupos
    • Modelos de Controle de Acesso
    • Decompor mecanismos de autorização
  • Microsoft
    • SC-900 Microsoft
      • Descrever o modelo de responsabilidade compartilhada
      • Descrever a defesa em profundidade
  • SIEM
  • ISO
Powered by GitBook
On this page
  1. Ethical Hacking

Pentest

Tipos e Fases de Pentests

Tipos:

Existem 3 tipos:

  1. Caixa preta (black box)

  2. Caixa cinza (grey box)

  3. Caixa branca (white box)

1 - BLACK BOX

Mais caro de ser implementado pois exige mais trabalho.

A ideia é quando você não sabe nada da empresa, então tem que começar sua pesquisa e seu teste do zero e é o mais realizado.

2 - GREY BOX

Visão entre departamentos.

Conhecimento parcial da estrutura. Com esse conhecimento, que dano alguém conseguiria fazer dentro da empresa, esse teste vai demonstrar isso.

3 - WHITE BOX

Mostra o que um administrador de rede da empresa consegue fazer caso ele tenha te causado um dano

Exemplo: Ele recebeu uma carta de demissão e que causar um dano antes de sair. Então com os acessos de administrador que ele tem, até onde conseguiria chegar?

  • Tem que ser muito bem conversado com o cliente para entender qual a necessidade e qual tipo escolher.

Fases:

5 fases:

  • Reconhecimento

Pesquisa sobre o sistema:

  • identificar o domínio

  • dados importantes

  • sistemas básicos

  • usuários

  • emails

  • Varredura

Pega as informações da fase de reconhecimento

Exemplo: a faixa de endereço IP no qual a empresa se localiza e usa técnicas de varredura de endereços IPs e Portas para identificar serviços, como:

  • Descobrir quantos computadores e servidores tem, o nome, endereço IP de cada um.

  • Através de enumeração e Fingerprint consegue descobrir o sistema operacional de cada um também.

  • Que serviços está usando

  • Ganho de Acesso

Vai pegar todas as informações que foram colhidas anteriormente, por isso as 2 primeiras fases devem ser bem feitas e com calma pois sem elas bem desenvolvidas é difícil saber qual o nome dos serviços, como ira buscar as vulnerabilidades ou tentar explorar as falhas.

É umas consequência das informações que conseguiu antes.

Onde o Pentester vai decidir que técnicas utilizar para como o nome diz, ganhar o acesso.

  • Mantendo o acesso

O hacker ético ja possui acesso explorando alguma falha e vai instalar alguma coisa no sistema para manter o acesso (chamado de back door)

  • Cobrindo rastros

Envolve vários aspectos, desde esconder o endereço IP de origem, como também apagar logs de acesso dentro da empresa ou esconder arquivos, como rootkits e outras técnicas.

PreviousConceitos LegaisNextPenetration Test

Last updated 11 months ago