Il vostro compito è eseguire un penetration test su un sistema target e redigere un report completo che includa le vulnerabilità identificate, i metodi utilizzati per scoprirle, e le raccomandazioni per risolvere i problemi riscontrati.
Vi sarà fornito privatamente un target da sottoporre a un penetration test. Il target può essere un'applicazione web, un server, una rete o un altro tipo di sistema informatico. Il vostro obiettivo è identificare e sfruttare le vulnerabilità presenti nel target in modo etico e documentare dettagliatamente le vostre scoperte.
-
Reconnaissance (Raccolta delle Informazioni)
- Raccogliere informazioni sul target utilizzando tecniche di open source intelligence (OSINT) e strumenti di ricognizione.
- Documentare le tecniche e gli strumenti utilizzati.
-
Scanning (Scansione)
- Eseguire scansioni di rete e di vulnerabilità per identificare porte aperte, servizi attivi e potenziali punti deboli.
- Utilizzare strumenti come Nmap, Nessus, o OpenVAS.
- Documentare i risultati delle scansioni.
-
Exploitation (Sfruttamento delle Vulnerabilità)
- Tentare di sfruttare le vulnerabilità identificate per ottenere accesso non autorizzato o eseguire codice arbitrario.
- Utilizzare strumenti come Metasploit, Burp Suite, o exploit personalizzati.
- Documentare i metodi di attacco e gli exploit utilizzati.
-
Reporting (Redazione del Report)
- Redigere un report dettagliato che includa:
- Introduzione: Panoramica del penetration test e degli obiettivi.
- Metodologia: Descrizione delle tecniche e degli strumenti utilizzati in ogni fase del test.
- Scoperte: Elenco delle vulnerabilità identificate, complete di dettagli tecnici.
- Raccomandazioni: Suggerimenti dettagliati per mitigare le vulnerabilità identificate.
- Conclusioni: Riflessioni finali sullo stato di sicurezza del target e sul valore del penetration test eseguito.
- Redigere un report dettagliato che includa:
-
Etica e Legalità:
- Tutte le attività devono essere condotte in modo etico e legale, nel rispetto delle normative vigenti in materia di sicurezza informatica.
- Non è consentito causare danni intenzionali al target o all'infrastruttura IT sottostante.
- L'applicazione web utilizzata come bersaglio contiene solo dati sintetici generati in maniera casuale
- Tutte le attività devono essere condotte rispettando scrupolosamente le linee guida del fornitore dell'infrastruttura cloud che ospita l'applicazione bersaglio
-
Riservatezza:
- Il target specifico vi sarà comunicato privatamente.
- Non condividere dettagli del target con persone esterne alla challenge.
-
Strumenti:
- È possibile utilizzare qualsiasi strumento di penetration testing disponibile, purché non violi le regole etiche e legali.
- Documentare tutti gli strumenti utilizzati nel report.
-
Scadenza:
- Il penetration test deve essere completato entro il [data di scadenza].
- Il report finale deve essere inviato entro il [data di scadenza].
-
Completezza del Report:
- Il report deve essere completo e ben strutturato, coprendo tutte le fasi del penetration test.
-
Qualità delle Scoperte:
- La qualità e la rilevanza delle vulnerabilità identificate saranno valutate.
-
Efficacia delle Raccomandazioni:
- Le raccomandazioni per la mitigazione devono essere pratiche, implementabili e ben giustificate.
-
Professionalità:
- Il report deve essere professionale e facile da leggere, con un linguaggio chiaro e conciso.
- OWASP Testing Guide: Per le migliori pratiche nel testing delle applicazioni web.
- Nmap: Per la scansione di rete.
- Burp Suite: Per il testing delle applicazioni web.
- Metasploit Framework: Per il testing delle vulnerabilità conosciute.
Vi auguriamo buona fortuna e buon lavoro! Che vinca il miglior penetration tester!
Questa challenge richiede ai partecipanti di applicare una vasta gamma di competenze di sicurezza informatica e di redigere un report professionale che può essere utilizzato per migliorare la sicurezza del target testato.