Relatório de Testes de Segurança (Pentest)
Código: PENTEST-[ANO]-[NUMERO] Versão: 1.0 Data do Teste: [PREENCHER_DATA_INICIO] a [PREENCHER_DATA_FIM] Empresa Executora: [PREENCHER_NOME_EMPRESA] Status: [RASCUNHO / FINAL / RETESTADO]
1. Objetivo
Este documento tem como objetivo registrar os resultados de testes de segurança realizados na infraestrutura e aplicações da organização, em conformidade com o Art. 46 da LGPD, que determina a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais.
2. Escopo do Teste
2.1 Informações Gerais
| Campo | Informação |
|---|---|
| Tipo de Teste | [CAIXA PRETA / CAIXA CINZA / CAIXA BRANCA] |
| Ambiente | [PRODUÇÃO / HOMOLOGAÇÃO / DESENVOLVIMENTO] |
| Período de Execução | [DATA_INICIO] a [DATA_FIM] |
| Janela de Teste | [HORÁRIOS PERMITIDOS] |
| IP de Origem | [IPs DOS TESTADORES] |
2.2 Ativos em Escopo
| Tipo | Ativo | Descrição | Criticidade |
|---|---|---|---|
| Aplicação Web | [URL/NOME] | [DESCRIÇÃO] | [ALTA/MÉDIA/BAIXA] |
| API | [ENDPOINT] | [DESCRIÇÃO] | [ALTA/MÉDIA/BAIXA] |
| Infraestrutura | [RANGE IP] | [DESCRIÇÃO] | [ALTA/MÉDIA/BAIXA] |
| Aplicação Mobile | [NOME APP] | [DESCRIÇÃO] | [ALTA/MÉDIA/BAIXA] |
| [OUTRO] | [IDENTIFICADOR] | [DESCRIÇÃO] | [CRITICIDADE] |
2.3 Ativos Fora de Escopo
| Ativo | Motivo da Exclusão |
|---|---|
| [ATIVO] | [MOTIVO] |
| [ATIVO] | [MOTIVO] |
2.4 Limitações e Restrições
| Restrição | Descrição |
|---|---|
| Testes de DoS | [PERMITIDO/NÃO PERMITIDO] |
| Engenharia Social | [PERMITIDO/NÃO PERMITIDO] |
| Acesso Físico | [PERMITIDO/NÃO PERMITIDO] |
| Exploração Destrutiva | [PERMITIDO/NÃO PERMITIDO] |
| [OUTRA] | [DESCRIÇÃO] |
3. Metodologia
3.1 Frameworks Utilizados
| Framework | Versão | Aplicação |
|---|---|---|
| OWASP Testing Guide | 4.2 | Aplicações Web |
| OWASP Mobile Security | 1.4 | Aplicações Mobile |
| PTES (Penetration Testing Execution Standard) | - | Infraestrutura |
| NIST SP 800-115 | - | Avaliação Técnica |
| [OUTRO] | [VERSÃO] | [APLICAÇÃO] |
3.2 Fases do Teste
| Fase | Descrição | Período |
|---|---|---|
| 1. Reconhecimento | Coleta de informações públicas e mapeamento | [DATAS] |
| 2. Scanning | Varredura de portas, serviços e vulnerabilidades | [DATAS] |
| 3. Enumeração | Identificação detalhada de componentes | [DATAS] |
| 4. Exploração | Tentativa de exploração de vulnerabilidades | [DATAS] |
| 5. Pós-Exploração | Escalação de privilégios, persistência | [DATAS] |
| 6. Documentação | Elaboração do relatório | [DATAS] |
3.3 Ferramentas Utilizadas
| Categoria | Ferramenta | Versão | Propósito |
|---|---|---|---|
| Scanner de Vulnerabilidades | [NESSUS/OPENVAS/etc.] | [X.X] | Varredura automatizada |
| Proxy Web | [BURP/ZAP] | [X.X] | Interceptação de tráfego |
| Scanner Web | [NIKTO/WAPITI/etc.] | [X.X] | Análise de aplicação web |
| Exploração | [METASPLOIT/etc.] | [X.X] | Exploração de vulnerabilidades |
| Reconhecimento | [NMAP/SHODAN/etc.] | [X.X] | Mapeamento de rede |
| [OUTRA] | [FERRAMENTA] | [X.X] | [PROPÓSITO] |
3.4 Classificação de Severidade
| Severidade | CVSS v3 | Descrição | SLA Remediação |
|---|---|---|---|
| Crítica | 9.0 - 10.0 | Compromete completamente o sistema ou dados | Imediato (24-48h) |
| Alta | 7.0 - 8.9 | Permite acesso significativo ou vazamento de dados | 7 dias |
| Média | 4.0 - 6.9 | Impacto limitado, requer condições específicas | 30 dias |
| Baixa | 0.1 - 3.9 | Risco mínimo, informacional | 90 dias |
| Informacional | N/A | Boas práticas, sem risco direto | A critério |
4. Sumário Executivo
4.1 Visão Geral
| Métrica | Valor |
|---|---|
| Total de Vulnerabilidades | [X] |
| Críticas | [X] |
| Altas | [X] |
| Médias | [X] |
| Baixas | [X] |
| Informacionais | [X] |
4.2 Distribuição por Severidade
Crítica [████████░░] [X]
Alta [██████████████░░░░] [X]
Média [████████████████████░░░░] [X]
Baixa [██████░░░░] [X]
Info [████░░░░░░] [X]
0 5 10 15 20
4.3 Distribuição por Categoria OWASP
| Categoria OWASP Top 10 | Quantidade |
|---|---|
| A01:2021 - Broken Access Control | [X] |
| A02:2021 - Cryptographic Failures | [X] |
| A03:2021 - Injection | [X] |
| A04:2021 - Insecure Design | [X] |
| A05:2021 - Security Misconfiguration | [X] |
| A06:2021 - Vulnerable Components | [X] |
| A07:2021 - Auth Failures | [X] |
| A08:2021 - Data Integrity Failures | [X] |
| A09:2021 - Logging Failures | [X] |
| A10:2021 - SSRF | [X] |
4.4 Principais Riscos Identificados
| # | Vulnerabilidade | Severidade | Impacto no Negócio |
|---|---|---|---|
| 1 | [VULNERABILIDADE] | [CRÍTICA/ALTA] | [IMPACTO] |
| 2 | [VULNERABILIDADE] | [CRÍTICA/ALTA] | [IMPACTO] |
| 3 | [VULNERABILIDADE] | [CRÍTICA/ALTA] | [IMPACTO] |
4.5 Avaliação Geral
[PARECER GERAL SOBRE O NÍVEL DE SEGURANÇA - 2 A 3 PARÁGRAFOS]
Exemplo:
A avaliação de segurança identificou [X] vulnerabilidades, das quais [X] são consideradas críticas ou de alta severidade e requerem atenção imediata. As principais fragilidades estão relacionadas a [ÁREA 1] e [ÁREA 2]. Recomenda-se priorizar a correção das vulnerabilidades críticas e implementar controles adicionais de segurança.
5. Vulnerabilidades Encontradas
5.1 Vulnerabilidades Críticas
VULN-001: [TÍTULO DA VULNERABILIDADE]
| Campo | Valor |
|---|---|
| ID | VULN-001 |
| Severidade | Crítica |
| CVSS Score | [X.X] |
| CVSS Vector | [VECTOR] |
| Ativo Afetado | [ATIVO] |
| Categoria OWASP | [CATEGORIA] |
| CWE | CWE-[NUMERO] |
| Status | [ABERTA/EM CORREÇÃO/CORRIGIDA] |
Descrição:
[DESCRIÇÃO DETALHADA DA VULNERABILIDADE]
Evidência:
[EVIDÊNCIA TÉCNICA - REQUISIÇÃO/RESPOSTA/SCREENSHOT]
Impacto:
[DESCRIÇÃO DO IMPACTO POTENCIAL]
- Confidencialidade: [ALTO/MÉDIO/BAIXO]
- Integridade: [ALTO/MÉDIO/BAIXO]
- Disponibilidade: [ALTO/MÉDIO/BAIXO]
Impacto em Dados Pessoais:
[DESCREVER SE A VULNERABILIDADE PODE AFETAR DADOS PESSOAIS E COMO]
Recomendação:
[RECOMENDAÇÃO TÉCNICA PARA CORREÇÃO]
Referências:
- [LINK PARA DOCUMENTAÇÃO]
- [CVE SE APLICÁVEL]
VULN-002: [TÍTULO DA VULNERABILIDADE]
[REPETIR ESTRUTURA]
5.2 Vulnerabilidades Altas
VULN-003: [TÍTULO DA VULNERABILIDADE]
| Campo | Valor |
|---|---|
| ID | VULN-003 |
| Severidade | Alta |
| CVSS Score | [X.X] |
| Ativo Afetado | [ATIVO] |
| Categoria OWASP | [CATEGORIA] |
| Status | [ABERTA/EM CORREÇÃO/CORRIGIDA] |
Descrição:
[DESCRIÇÃO]
Evidência:
[EVIDÊNCIA]
Impacto:
[IMPACTO]
Recomendação:
[RECOMENDAÇÃO]
5.3 Vulnerabilidades Médias
| ID | Título | CVSS | Ativo | OWASP | Status |
|---|---|---|---|---|---|
| VULN-XXX | [TÍTULO] | [X.X] | [ATIVO] | [CAT] | [STATUS] |
| VULN-XXX | [TÍTULO] | [X.X] | [ATIVO] | [CAT] | [STATUS] |
[PARA CADA VULNERABILIDADE MÉDIA, PODE-SE USAR FORMATO RESUMIDO OU DETALHADO]
5.4 Vulnerabilidades Baixas
| ID | Título | CVSS | Ativo | OWASP | Status |
|---|---|---|---|---|---|
| VULN-XXX | [TÍTULO] | [X.X] | [ATIVO] | [CAT] | [STATUS] |
| VULN-XXX | [TÍTULO] | [X.X] | [ATIVO] | [CAT] | [STATUS] |
5.5 Observações Informacionais
| ID | Observação | Ativo | Recomendação |
|---|---|---|---|
| INFO-001 | [OBSERVAÇÃO] | [ATIVO] | [RECOMENDAÇÃO] |
| INFO-002 | [OBSERVAÇÃO] | [ATIVO] | [RECOMENDAÇÃO] |
6. Plano de Remediação
6.1 Priorização
| Prioridade | Vulnerabilidades | Prazo | Critério |
|---|---|---|---|
| P1 - Imediata | VULN-001, VULN-002 | 48h | Críticas exploráveis |
| P2 - Urgente | VULN-003, VULN-004 | 7 dias | Altas com impacto em DP |
| P3 - Normal | VULN-005 a VULN-010 | 30 dias | Médias |
| P4 - Planejada | VULN-011 a VULN-015 | 90 dias | Baixas |
6.2 Ações de Remediação
| ID | Vulnerabilidade | Ação | Responsável | Prazo | Status |
|---|---|---|---|---|---|
| VULN-001 | [TÍTULO] | [AÇÃO CORRETIVA] | [RESPONSÁVEL] | [DATA] | [STATUS] |
| VULN-002 | [TÍTULO] | [AÇÃO CORRETIVA] | [RESPONSÁVEL] | [DATA] | [STATUS] |
| VULN-003 | [TÍTULO] | [AÇÃO CORRETIVA] | [RESPONSÁVEL] | [DATA] | [STATUS] |
6.3 Quick Wins
Ações de baixo esforço e alto impacto:
| # | Ação | Vulnerabilidades Mitigadas | Esforço |
|---|---|---|---|
| 1 | [AÇÃO] | [VULNS] | [BAIXO/MÉDIO] |
| 2 | [AÇÃO] | [VULNS] | [BAIXO/MÉDIO] |
| 3 | [AÇÃO] | [VULNS] | [BAIXO/MÉDIO] |
7. Reteste
7.1 Planejamento de Reteste
| Vulnerabilidade | Data Correção | Data Reteste | Responsável |
|---|---|---|---|
| VULN-001 | [DATA] | [DATA] | [RESPONSÁVEL] |
| VULN-002 | [DATA] | [DATA] | [RESPONSÁVEL] |
7.2 Resultados do Reteste
| ID | Status Original | Status Reteste | Evidência | Data |
|---|---|---|---|---|
| VULN-001 | Crítica | [CORRIGIDA/PARCIAL/ABERTA] | [REF] | [DATA] |
| VULN-002 | Alta | [CORRIGIDA/PARCIAL/ABERTA] | [REF] | [DATA] |
7.3 Novas Vulnerabilidades (Reteste)
[LISTAR SE FORAM ENCONTRADAS NOVAS VULNERABILIDADES DURANTE O RETESTE]
8. Recomendações Gerais
8.1 Melhorias de Curto Prazo
| # | Recomendação | Prioridade | Benefício |
|---|---|---|---|
| 1 | [RECOMENDAÇÃO] | [ALTA/MÉDIA] | [BENEFÍCIO] |
| 2 | [RECOMENDAÇÃO] | [ALTA/MÉDIA] | [BENEFÍCIO] |
| 3 | [RECOMENDAÇÃO] | [ALTA/MÉDIA] | [BENEFÍCIO] |
8.2 Melhorias de Longo Prazo
| # | Recomendação | Prioridade | Benefício |
|---|---|---|---|
| 1 | [RECOMENDAÇÃO] | [MÉDIA/BAIXA] | [BENEFÍCIO] |
| 2 | [RECOMENDAÇÃO] | [MÉDIA/BAIXA] | [BENEFÍCIO] |
8.3 Controles Recomendados
| Controle | Descrição | Vulnerabilidades Mitigadas |
|---|---|---|
| WAF | Implementar Web Application Firewall | [VULNS] |
| SAST/DAST | Testes de segurança no pipeline | [VULNS] |
| Hardening | Configuração segura de servidores | [VULNS] |
| [OUTRO] | [DESCRIÇÃO] | [VULNS] |
9. Histórico de Testes
9.1 Comparativo com Testes Anteriores
| Métrica | [ANO-1] | [ANO-2] | Atual | Variação |
|---|---|---|---|---|
| Total de Vulnerabilidades | [X] | [X] | [X] | [+/-X] |
| Críticas | [X] | [X] | [X] | [+/-X] |
| Altas | [X] | [X] | [X] | [+/-X] |
| Médias | [X] | [X] | [X] | [+/-X] |
| Reincidentes | - | [X] | [X] | - |
9.2 Vulnerabilidades Reincidentes
| ID Original | Descrição | Ocorrências | Status Atual |
|---|---|---|---|
| [ID] | [DESCRIÇÃO] | [X] | [STATUS] |
9.3 Evolução do Nível de Segurança
Nível de Segurança (0-100)
│
100 ┤
80 ┤ ╭────
60 ┤ ╭─────────╯
40 ┤ ╭─────────╯
20 ┤──────────╯
0 ┼─────────┴─────────┴─────────┴─────
2021 2022 2023 2024
10. Conclusão
10.1 Parecer Final
[PARECER DO RESPONSÁVEL PELO TESTE]
Exemplo:
O teste de penetração revelou que a postura de segurança da organização é [ADEQUADA/NECESSITA MELHORIAS/CRÍTICA]. Foram identificadas [X] vulnerabilidades, com destaque para [PRINCIPAIS PROBLEMAS]. Recomenda-se a implementação imediata das correções para vulnerabilidades críticas e altas, seguida de um programa contínuo de gestão de vulnerabilidades.
10.2 Próximos Passos
- Corrigir vulnerabilidades críticas imediatamente
- Implementar plano de remediação para demais vulnerabilidades
- Realizar reteste após correções
- Agendar próximo teste para [DATA SUGERIDA]
11. Assinaturas
11.1 Equipe de Teste
| Função | Nome | Certificações | Assinatura |
|---|---|---|---|
| Líder de Teste | [NOME] | [OSCP, CEH, etc.] | _____________ |
| Analista | [NOME] | [CERTIFICAÇÕES] | _____________ |
| Analista | [NOME] | [CERTIFICAÇÕES] | _____________ |
11.2 Cliente
| Função | Nome | Data | Assinatura |
|---|---|---|---|
| Gestor de SI | [NOME] | [DATA] | _____________ |
| DPO | [NOME] | [DATA] | _____________ |
| Diretor de TI | [NOME] | [DATA] | _____________ |
12. Confidencialidade
Este relatório contém informações confidenciais e sensíveis sobre a segurança da organização. A distribuição deve ser restrita a pessoas autorizadas. O uso indevido das informações contidas neste documento pode resultar em responsabilização legal.
Classificação: CONFIDENCIAL
Distribuição Autorizada:
- [LISTA DE DESTINATÁRIOS]
Anexos
- Anexo A: Evidências técnicas completas
- Anexo B: Logs de ferramentas utilizadas
- Anexo C: Screenshots
- Anexo D: Termo de autorização de teste
- Anexo E: Lista de IPs e credenciais utilizadas