# Что входит в пентест Главная задача пентеста — проникнуть в систему компании или её сеть, получить контроль над конкретным устройством или программным обеспечением, а в финале — забрать информацию или вывести из строя части системы или её целиком. Пентест можно разделить на несколько составляющих, которые ведут к главным целям. ### Сети Здесь нужно искать слабые узлы, плохо настроенные протоколы, уязвимости при передаче или получении данных. Сюда же отнесем поиск смешных по простоте паролей, а также другие возможности проникновения в сети.\ \ **База:** анализатор сетевых пакетов [Wireshark](https://www.wireshark.org/). ### Приложения и программное обеспечение Здесь мы говорим и про локальные, сетевые приложения, и про сайты. Подделывать запросы, пытаться получить доступ к БД, использовать вреденосные скрипты, мешать работе сеансов. Всё это лишь часть задач пентеста. Обычно эта часть пентеста происходит до полноценного запуска системы: так не будет нарушена реальная работа компании. Но даже после релиза периодический пентест приложений и ПО — обязательная практика. Обновления, усложнение систем и связей между сущностями — все это может вскрыть разного рода уязвимости. А задача пентеста — найти их.\ \ **База:** программа по поиску уязвимостей в приложения и ПО — [Burp Suite](https://portswigger.net/burp). ### Устройства Здесь мы говорим и про физический, и про программный уровни. Искать слабые места сети, к которой подключено устройство, использовать брутфорс и другие возможности взлома.\ \ **База:** брутфорс-программа [John the Ripper](https://www.openwall.com/john/), тестировщик безопасности Wi-Fi [Aircrack-ng](https://www.aircrack-ng.org/). ### Физические системы Дата-центры, серверные или любое другое охраняемое помещение — пентест должен стараться проникнуть и туда. А еще проверить системы видеонаблюдения, кондиционирования и другие. Это кажется мелочью, но повысив температуру в серверных можно остановить работу компании на часы и даже дни. Пентест должен продумывать даже такие неочевидные последствия взлома. **База:** [CamOver](https://github.com/EntySec/CamOver) для взлома камер и [Airgeddon](https://github.com/v1s1t0r1sh3r3/airgeddon) для атаки Evil Twin ### Люди Оставили на десерт самый лакомый кусок пентеста. Человеческий фактор — главная причина плохой кибербезопасности. Оценка возможности «случайного» слома системы, наивность в переписке через корпоративные почты, слабые пароли, ошибки в хранении и передачи данных. Всё это тоже входит в пентест.\ \ **База:** [основы социальной инженерии и фишинг](https://kali.tools/?p=1435)