Checklist Metodológico por Fase¶
Fonte: javascript/pentest/pentest.js — PentestModule.METHODOLOGY (aba ✅ METODOLOGIA). Itens marcados como crítico bloqueiam o avanço de fase se não cumpridos.
Pré-Engajamento · ISO 27001 A.5.20¶
- [x] Contrato e NDA assinados (crítico)
- [x] Escopo definido em documento formal (IPs, domínios, horários) (crítico)
- [x] Autorização escrita do proprietário ou gestor de TI (crítico)
- [ ] Declaração de metodologia entregue ao cliente
- [ ] Janela de execução e contatos de emergência definidos
- [x] Regras de engajamento (RoE) documentadas e assinadas (crítico)
- [ ] Ambiente de backup validado antes do início
- [ ] Canal seguro de comunicação estabelecido (Signal/ProtonMail)
Reconhecimento · ISO 27001 A.5.7¶
- [ ] WHOIS, ASN, blocos IP coletados
- [x] Subdomínios enumerados (subfinder, amass, crt.sh) (crítico)
- [ ] Emails e contatos coletados (theHarvester, Hunter.io)
- [ ] Tecnologias identificadas (Wappalyzer, Shodan)
- [ ] Metadados de documentos analisados (FOCA, ExifTool)
- [ ] Google Dorks executados (filetype, inurl, site)
- [x] Registros DNS completos mapeados (MX, TXT, NS, CNAME) (crítico)
- [ ] LinkedIn/redes sociais analisados para engenharia social
Scanning & Enumeração · ISO 27001 A.8.8¶
- [x] Port scan completo 65535 portas (
nmap -sS -p-) (crítico) - [x] Detecção de versões e OS fingerprinting (
-sV -O) (crítico) - [x] Scripts NSE de vulnerabilidades executados (
--script vuln) (crítico) - [x] Scanner web aplicado (Nikto, Nuclei, OWASP ZAP) (crítico)
- [ ] Enumeração de diretórios (Gobuster, ffuf, feroxbuster)
- [ ] SMB/LDAP/SNMP enumerados se disponíveis
- [ ] Certificados TLS inspecionados (vencimento, cipher suites)
- [x] CVEs identificadas e documentadas com CVSS (crítico)
Exploração · ISO 27001 A.8.8 · A.12.6¶
- [x] PoC documentada ANTES de explorar em produção (crítico)
- [x] Exploits testados em ambiente controlado primeiro (crítico)
- [x] Screenshots de cada passo da exploração capturados (crítico)
- [x] Payloads registrados em log estruturado (crítico)
- [x] Impacto mínimo — sem causar indisponibilidade (crítico)
- [x] Notificação imediata ao cliente em caso de achado crítico (crítico)
- [ ] Exploração de credenciais apenas com senhas de demo/teste
- [ ] Hash dos payloads gerados antes e após execução
Pós-Exploração · ISO 27001 A.8.16 · A.5.29¶
- [x] Escalada de privilégio documentada passo a passo (crítico)
- [x] Evidências coletadas com hash SHA-256 (crítico)
- [x] Movimento lateral mínimo necessário para PoC (crítico)
- [x] Nenhum dado real de cliente acessado ou exfiltrado (crítico)
- [x] Backdoors/persistências REMOVIDAS após aprovação do cliente (crítico)
- [ ] Timestamps de acesso preservados como evidência
- [x] Caminho completo de ataque (kill chain) documentado (crítico)
- [x] Impacto real avaliado e comunicado imediatamente (crítico)
Relatório & Remediação · ISO 27001 A.18.2.3 · A.5.36¶
- [x] Relatório executivo (máx. 3 páginas, sem jargão técnico) (crítico)
- [x] Relatório técnico completo com PoC e screenshots (crítico)
- [x] CVSS v3.1 calculado para cada vulnerabilidade (crítico)
- [x] Priorização clara: Crítico → Alto → Médio → Baixo (crítico)
- [x] Plano de remediação com prazo e responsável por item (crítico)
- [ ] Mapeamento ISO 27001 / OWASP / PCI-DSS / LGPD
- [ ] Retesting agendado para vulnerabilidades críticas (30 dias)
- [ ] Certificado de conclusão emitido após retesting positivo
Uso ágil deste checklist
Cada fase do checklist pode virar uma história de usuário dentro do épico "Testes de Intrusão" no Backlog. Itens críticos não cumpridos bloqueiam o item no board (coluna Blocked) até resolução — ver Definition of Done.