Testy penetracyjne - kompletny przewodnik po metodologii, narzędziach i certyfikacjach

Czym są testy penetracyjne

Testy penetracyjne (pentest) to kontrolowane ataki na systemy IT przeprowadzane przez autoryzowanych specjalistów w celu identyfikacji podatności, które mogłyby zostać wykorzystane przez prawdziwych napastników. Pentest symuluje rzeczywistego atakującego — w odróżnieniu od automatycznych skanerów podatności, pentester używa kombinacji narzędzi, eksploitacji ręcznej i myślenia adwersarza.

Pentest vs Vulnerability Scan vs Red Team

Vulnerability Scan (skanowanie podatności)

• Zautomatyzowany - Nessus, Qualys, OpenVAS
• Szeroki zasięg, niski poziom głębokości
• Wynik: lista CVE z ratingami CVSS
• Kiedy: miesięcznie/kwartalnie, compliance (PCI DSS, ISO 27001)

Pentest

• Ręczny z elementami automatyzacji
• Głębokie exploitation, chain attacks
• Wynik: proof-of-concept exploitów, impact, rekomendacje
• Kiedy: rocznie, po dużych zmianach, przed releasem

Red Team

• Pełna symulacja rzeczywistego atakującego
• Obejmuje social engineering, phishing, physical security
• Cel: testowanie zdolności detekcji (Blue Team), nie tylko podatności
• Kiedy: dla dojrzałych organizacji, raz na 1-3 lata

Metodologie testów penetracyjnych

1. OWASP Testing Guide

Standard dla aplikacji webowych — obejmuje wszystkie fazy od rekonesansu po raportowanie. OWASP Top 10 jako punkt startowy dla listy podatności.

2. PTES (Penetration Testing Execution Standard)

7 faz:

1. Pre-engagement (zakres, NDA, rules of engagement)
2. Intelligence Gathering (OSINT)
3. Threat Modeling
4. Vulnerability Analysis
5. Exploitation
6. Post-Exploitation (privilege escalation, lateral movement, persistence)
7. Reporting

3. OSSTMM (Open Source Security Testing Methodology Manual)

Bardziej techniczna i pomiarowa metodologia, stosowana przy testach infrastruktury sieciowej i fizycznej.

4. NIST SP 800-115

Amerykański standard — często stosowany w sektorze publicznym i regulowanym.

Narzędzia pentestera

Rekonesans i skanowanie

• Nmap - skanowanie portów i wersji usług
• Masscan - szybki skan dużych zakresów
• Amass, Subfinder - enumeracja subdomen
• Shodan, Censys - wyszukiwanie usług w internecie
• theHarvester - OSINT dla domen i emaili

Exploitation

• Metasploit Framework - platforma exploitacyjna
• Burp Suite - proxy, intruder, repeater (aplikacje webowe)
• SQLMap - automatyzacja SQL Injection
• BloodHound - analiza Active Directory
• Impacket - narzędzia do protokołów sieciowych (SMB, Kerberos)

Wireless

• Aircrack-ng suite - ataki na Wi-Fi WEP/WPA
• Wifite - zautomatyzowany framework wifi

Post-exploitation

• Mimikatz - ekstrakcja haseł i biletów Kerberos z pamięci
• Empire / Covenant / Sliver - C2 frameworks
• Cobalt Strike - profesjonalny C2 (drogi, licencjonowany)

Dystrybucje pentestera

• Kali Linux - standard branżowy, ponad 600 wbudowanych narzędzi
• Parrot OS - alternatywa z naciskiem na prywatność
• BlackArch - dla zaawansowanych (Arch Linux base)

Ścieżki certyfikacji pentestera

1. CompTIA PenTest+ - wejście do branży, basic
2. CEH (Certified Ethical Hacker) - popularny, szeroki zakres, teoretyczny
3. eJPT, eCPPT (INE Security) - praktyczne, dostępne cenowo
4. OSCP (Offensive Security Certified Professional) - gold standard, 24h egzamin praktyczny
5. OSEP, OSWE, OSED - specjalizacje Offensive Security (exploit dev, web, bypass)
6. CRTO/CRTP (Zero-Point Security) - AD i red teaming
7. GPEN, GWAPT (SANS) - drogie, ale prestiżowe

Prawny i etyczny kontekst

• Zawsze wymagana pisemna autoryzacja (Rules of Engagement) - bez niej pentest = przestępstwo (art. 267 KK)
• NDA - ochrona wrażliwych danych klienta
• Minimalizacja impactu - nie uszkadzać, nie exfiltrować, nie destabilizować produkcji
• Responsible disclosure - przy znalezisku w cudzym systemie (bug bounty)

Szkolenia testów penetracyjnych w EITT

Oferujemy pełną ścieżkę: od podstaw Kali Linux i Nmap, przez testy aplikacji webowych, aż po zaawansowane ataki na infrastrukturę sieciową.

FAQ

Ile trwa test penetracyjny?

• Mały serwis webowy - 5-10 dni roboczych
• Aplikacja korporacyjna - 2-4 tygodnie
• Infrastruktura sieci - 3-6 tygodni
• External + Internal + Web + API - 6-12 tygodni
• Red Team engagement - 2-6 miesięcy

Ile kosztuje pentest w Polsce?

• Aplikacja webowa - 15 000 - 80 000 PLN
• Infrastruktura sieciowa - 30 000 - 150 000 PLN
• Red team pełny - 200 000 - 800 000 PLN
• Ceny zależą od zakresu, złożoności, doświadczenia zespołu (junior vs senior vs certyfikowany OSCP/CRTO)

Black box, gray box, white box - co wybrać?

• Black box - testerzy dostają tylko URL/IP, symulują zewnętrznego atakującego. Najbardziej realistyczny, ale długi (dużo czasu na recon)
• Gray box - testerzy dostają ograniczone dane (np. konto użytkownika, architekturę). Optymalny balans
• White box - testerzy dostają dostęp do kodu, dokumentacji, konfiguracji. Najgłębszy, ale mniej realistyczny

Jakie kompetencje są potrzebne do zostania pentesterem?

1. Podstawy sieci (TCP/IP, DNS, HTTP)
2. Linux i command line
3. Programowanie (Python, Bash — minimum do pisania własnych skryptów)
4. Bezpieczeństwo aplikacji webowych (OWASP Top 10)
5. Active Directory (dla wewnętrznych pentestów)
6. Nmap, Burp Suite, Metasploit
7. Znajomość przynajmniej podstawowych CVE i technik exploitacji

Czy warto robić OSCP?

Tak — OSCP wciąż jest najbardziej szanowanym praktycznym certyfikatem w branży. Egzamin to 24 godziny hands-on labu, co weryfikuje realne umiejętności (nie testy wielokrotnego wyboru). Jest wymagany lub mocno preferowany przez większość dobrych pracodawców i firm konsultingowych.

Pentest vs Bug Bounty - co lepsze?

Pentest - zaplanowany, kontraktowy, ze zdefiniowanym zakresem i czasem. Gwarantowana płatność za pracę.

Bug Bounty - znajdujesz podatność w cudzym systemie (w ramach programu) i otrzymujesz nagrodę. Elastyczny, ale niepewny dochód. Dobry na dodatkową praktykę.

Oba się uzupełniają — wielu pentesterów uczestniczy w bug bounty jako trening.