# Что входит в пентест

Главная задача пентеста — проникнуть в систему компании или её сеть, получить контроль над конкретным устройством или программным обеспечением, а в финале — забрать информацию или вывести из строя части системы или её целиком. Пентест можно разделить на несколько составляющих, которые ведут к главным целям.

### Сети

Здесь нужно искать слабые узлы, плохо настроенные протоколы, уязвимости при передаче или получении данных. Сюда же отнесем поиск смешных по простоте паролей, а также другие возможности проникновения в сети.\
\
**База:** анализатор сетевых пакетов [Wireshark](https://www.wireshark.org/).

### Приложения и программное обеспечение

Здесь мы говорим и про локальные, сетевые приложения, и про сайты. Подделывать запросы, пытаться получить доступ к БД, использовать вреденосные скрипты, мешать работе сеансов. Всё это лишь часть задач пентеста. Обычно эта часть пентеста происходит до полноценного запуска системы: так не будет нарушена реальная работа компании. Но даже после релиза периодический пентест приложений и ПО — обязательная практика. Обновления, усложнение систем и связей между сущностями — все это может вскрыть разного рода уязвимости. А задача пентеста — найти их.\
\
**База:** программа по поиску уязвимостей в приложения и ПО — [Burp Suite](https://portswigger.net/burp).

### Устройства

Здесь мы говорим и про физический, и про программный уровни. Искать слабые места сети, к которой подключено устройство, использовать брутфорс и другие возможности взлома.\
\
**База:** брутфорс-программа [John the Ripper](https://www.openwall.com/john/), тестировщик безопасности Wi-Fi [Aircrack-ng](https://www.aircrack-ng.org/).

### Физические системы

Дата-центры, серверные или любое другое охраняемое помещение — пентест должен стараться проникнуть и туда. А еще проверить системы видеонаблюдения, кондиционирования и другие. Это кажется мелочью, но повысив температуру в серверных можно остановить работу компании на часы и даже дни. Пентест должен продумывать даже такие неочевидные последствия взлома.

**База:** [CamOver](https://github.com/EntySec/CamOver) для взлома камер и [Airgeddon](https://github.com/v1s1t0r1sh3r3/airgeddon) для атаки Evil Twin

### Люди

Оставили на десерт самый лакомый кусок пентеста. Человеческий фактор — главная причина плохой кибербезопасности. Оценка возможности «случайного» слома системы, наивность в переписке через корпоративные почты, слабые пароли, ошибки в хранении и передачи данных. Всё это тоже входит в пентест.\
\
**База:** [основы социальной инженерии и фишинг](https://kali.tools/?p=1435)&#x20;

<br>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://notes.kraken-security.ru/kraken/krupicy-znanii/karera/chto-vkhodit-v-pentest.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.