Teste de Penetração: Guia Completo para Iniciantes (2026)

O que é teste de penetração?

O que é teste de penetração? Teste de penetração, ou pentest, é a prática de atacar um sistema com a permissão do dono para identificar e provar falhas de segurança que um atacante malicioso poderia explorar. O objetivo não é apenas encontrar vulnerabilidades, mas demonstrar seu impacto real e dar à organização uma lista de correções priorizada.

A palavra que separa o teste de penetração do crime é autorização. Um pentester e um criminoso podem rodar a mesma varredura Nmap, explorar o mesmo bug de injeção SQL e extrair o mesmo banco de dados. A diferença é um contrato assinado que diz, por escrito, quais sistemas estão no escopo e o que o testador pode fazer. Tire esse documento e as mesmas teclas digitadas viram crime.

O teste de penetração também difere de uma simples varredura de vulnerabilidades em um ponto importante: um scanner relata que uma porta pode estar destrancada, enquanto um pentester a atravessa e mostra o que há do outro lado. Essa distinção importa para quem paga o trabalho. Um conselho de administração não age com base em "possível injeção SQL na página de login". Ele age com base em "extraímos 40.000 registros de clientes pela página de login em menos de uma hora".

As organizações contratam testes de penetração por três motivos. O primeiro é risco: querem saber o que um atacante consegue realmente alcançar antes que um atacante tente. O segundo é conformidade, já que padrões como PCI DSS, SOC 2, ISO 27001 e HIPAA exigem ou esperam fortemente testes regulares. O terceiro é a garantia após uma mudança, como o lançamento de uma aplicação, uma migração para a nuvem, ou uma fusão que junta duas redes.

Teste de penetração vs varredura de vulnerabilidades vs red teaming

Esses três termos são usados como se significassem a mesma coisa. Não significam, e confundi-los leva a comprar o serviço errado.

A varredura de vulnerabilidades é automatizada e ampla. Uma ferramenta como Nessus ou OpenVAS verifica um alvo contra uma base de problemas conhecidos e produz uma lista de achados potenciais. Roda em minutos a horas, custa pouco e deveria rodar continuamente. Sua fraqueza é o contexto: um scanner não diz se um achado de "severidade média" é, na verdade, um caminho claro até o seu banco de dados de clientes.

O teste de penetração é manual e profundo. Um humano pega a saída das varreduras, descarta os falsos positivos, encadeia pequenas fraquezas em um ataque real e prova o impacto. Acontece de forma planejada (muitas vezes anual ou após mudanças importantes) e custa mais porque tempo qualificado é caro. Um pentest responde "o que um atacante consegue realmente fazer aqui", o que uma varredura não consegue.

O red teaming é simulação de adversário. Uma red team escolhe um objetivo (por exemplo, "alcançar o sistema de relatórios financeiros") e tenta atingi-lo por qualquer caminho disponível, incluindo phishing, entrada física e evasão dos defensores, que em geral não sabem que o teste está acontecendo. O red teaming mede detecção e resposta, não apenas a presença de vulnerabilidades. É um trabalho mais avançado que pressupõe que o básico de um pentest comum já está resolvido.

A visão honesta: a maioria das organizações que pede uma "red team" precisa primeiro de um teste de penetração completo. Rodar uma simulação de adversário contra uma rede que nunca teve um pentest básico é como contratar um dublê de ação antes de aprender a trocar um pneu.

Tipos de teste de penetração

Os testes de penetração são classificados de duas formas: por quanto o testador sabe ao começar e por aquilo que está sendo atacado.

Pelo nível de conhecimento

O teste caixa-preta dá ao testador nada além do nome do alvo, simulando um atacante externo sem informação interna. É realista, mas lento, já que o tempo é gasto em reconhecimento que um interno pularia. O teste caixa-cinza fornece informação limitada, como uma conta de usuário de baixo privilégio, o que reflete o cenário comum do mundo real de um atacante que já phishou um conjunto de credenciais. O teste caixa-branca entrega acesso total: código-fonte, diagramas de arquitetura e credenciais de administrador. Encontra mais bugs por hora porque nenhum tempo é perdido em descoberta.

A caixa-cinza é o ponto ideal para a maioria dos trabalhos. Equilibra realismo com uso eficiente do orçamento de teste, e é por isso que é o padrão para a maior parte do trabalho comercial em aplicações web.

Pelo alvo

O teste de aplicações web mira as aplicações e APIs que uma empresa expõe na internet. É a especialidade de maior demanda porque quase toda organização roda aplicações web, e o OWASP Top 10 (injeção, controle de acesso quebrado e o resto) aparece o tempo todo. Nosso guia de teste de penetração de aplicações web cobre essa metodologia em profundidade.

O teste de rede e infraestrutura mira servidores, serviços, firewalls e o Active Directory. O trabalho envolve varredura de portas, exploração de serviços e movimento lateral entre máquinas. O teste sem fio ataca Wi-Fi e Bluetooth. O teste em nuvem avalia configurações de AWS, Azure e GCP, onde os achados mais comuns são papéis IAM permissivos demais e buckets de armazenamento expostos, em vez de bugs de software clássicos. A engenharia social testa as pessoas por meio de phishing e pretexting. O teste físico tenta entrar em prédios e plantar dispositivos.

Você não aprende tudo isso de uma vez. Escolha um, geralmente web ou rede, e vá fundo antes de se ramificar.

As 5 fases de um teste de penetração

Todo trabalho profissional segue uma metodologia, e a ordem importa porque cada fase alimenta a seguinte. O modelo de cinco fases abaixo descreve o ciclo de vida de um teste autorizado. A única característica que o separa de uma invasão criminosa é a última fase: o relatório.

Fase 1: planejamento e reconhecimento

O planejamento define as regras. Antes de qualquer pacote ser enviado, o testador e o cliente acordam o escopo (quais faixas de IP, domínios e aplicações são válidos), o cronograma e as regras de engajamento. É também aqui que a autorização legal é assinada. O reconhecimento então reúne informações sobre o alvo. O reconhecimento passivo usa fontes públicas: registros DNS, logs de transparência de certificados, repositórios do GitHub, perfis de funcionários e credenciais vazadas em violações anteriores. O reconhecimento ativo toca o alvo com sondas discretas.

Na prática, o reconhecimento muitas vezes decide o resultado. Um testador que encontra um servidor de homologação esquecido com credenciais padrão durante o reconhecimento praticamente já venceu, antes de escrever um único exploit.

Fase 2: varredura e enumeração

A varredura mapeia a superfície de ataque. O Nmap identifica portas abertas, serviços em execução e versões de software. Um comando como nmap -sV -sC -p- target.com varre todas as 65.535 portas TCP, detecta versões de serviço e roda o conjunto de scripts padrão. A enumeração vai mais fundo, consultando cada serviço por nomes de usuário, compartilhamentos e detalhes de configuração. Nosso guia rápido do Nmap lista as opções que vale memorizar.

Para alvos web, esta fase significa descoberta de conteúdo: encontrar diretórios, endpoints e parâmetros ocultos. Ferramentas como Gobuster e ffuf testam caminhos por força bruta a partir de uma wordlist, e a wordlist importa mais do que qualquer opção. Nosso guia de wordlists do Gobuster cobre qual lista usar quando, e se você prefere um passo a passo em interface gráfica, nosso guia sobre como usar o DirBuster mostra a abordagem clássica.

Fase 3: exploração

A exploração é o momento em que uma fraqueza descoberta vira acesso real. O exploit pode ser um CVE público com código de prova de conceito, um payload sob medida para um serviço sem correção, ou uma falha de lógica encadeada a partir de vários bugs menores. Para aplicações web, o proxy de interceptação Burp Suite está no centro desse trabalho; comece pelo nosso tutorial de Burp Suite se nunca o usou. Para gerar reverse shells e outros payloads, nosso guia rápido do msfvenom documenta a sintaxe que você vai realmente usar.

A maioria das invasões reais não começa com um zero-day. Começa com uma vulnerabilidade conhecida e sem correção, uma senha fraca ou um phishing bem-sucedido. O catálogo de 2024 de vulnerabilidades ativamente exploradas da CISA foi dominado por bugs cujas correções existiam muito antes de serem abusados. Gaste seu tempo de estudo nas falhas chatas e comuns, porque é isso que funciona.

Fase 4: pós-exploração e escalação de privilégios

O acesso inicial raramente é o fim. Um shell rodando como um usuário web de baixo privilégio consegue ler arquivos da aplicação, mas não consegue extrair o banco de dados completo nem pivotar para outras máquinas. A escalação de privilégios transforma esse ponto de apoio em acesso root, administrador ou administrador de domínio. No Linux, isso costuma significar abusar de binários SUID mal configurados, regras de sudo ou capabilities; no Windows, mira caminhos de serviço sem aspas, personificação de tokens e configurações erradas de Active Directory.

Os ataques a credenciais acontecem aqui também. Um testador que recupera um arquivo shadow, um dump NTDS.dit ou um banco de hashes de senhas os quebra offline para ampliar o acesso. Nosso tutorial de quebra de hashes e nosso guia sobre como usar o John the Ripper cobrem o fluxo, e se você já se perguntou por que um hash MD5 capturado não pode simplesmente ser descriptografado, nosso guia sobre como reverter um MD5 explica o que realmente acontece.

Fase 5: relatório e remediação

O relatório é o produto. Tudo o que vem antes é só a pesquisa que preenche as páginas. Um bom relatório classifica os achados por risco real, explica cada um para que um desenvolvedor consiga reproduzi-lo e dá passos de correção claros. Ele separa o bypass de autenticação crítico do cabeçalho ausente de baixa severidade, porque um cliente com tempo limitado precisa saber o que corrigir primeiro.

Esta fase é também onde os testadores éticos param antes do dano. Eles documentam que dados poderiam ser exfiltrados ou que a persistência era possível, sem de fato deixar ao cliente um comprometimento real para limpar. O ponto de um teste autorizado é demonstrar impacto, não causá-lo.

Ferramentas de teste de penetração

Você não precisa de 40 ferramentas para ser eficaz. Precisa de cinco ou seis e de profunda familiaridade com cada uma. As abaixo cobrem a maior parte do trabalho real, organizadas pela fase em que ganham seu lugar. Para um panorama mais amplo com exemplos de comandos para cada uma, veja nosso guia de ferramentas de teste de penetração.

• Nmap é o scanner de rede padrão. Quase todo trabalho começa com ele, qualquer que seja o resto da cadeia de ferramentas.
• Burp Suite é o proxy de interceptação no centro de todo teste web. A edição Community gratuita cobre a maioria dos fluxos de iniciante; a Pro adiciona um scanner automatizado.
• Metasploit e msfvenom fornecem exploits prontos e um gerador de payloads para entregar reverse shells em várias plataformas.
• sqlmap e ffuf automatizam a extração por injeção SQL e o fuzzing de alta velocidade depois que você confirma um ponto de injeção na mão.
• Hashcat e John the Ripper quebram os hashes de senha que você recupera, com o Hashcat vencendo na velocidade de GPU e o John na flexibilidade de formatos.
• LinPEAS, WinPEAS e GTFOBins automatizam a enumeração para escalação de privilégios e dizem como explorar o que encontram.

Uma opinião forte para internalizar cedo: pule as plataformas tudo-em-um que prometem "automatizar o pentest inteiro". O teste de penetração não pode ser totalmente automatizado, e um produto que afirma o contrário está vendendo varredura de vulnerabilidades com um nome mais caro. Pule também a interface gráfica do DirBuster para o trabalho diário; Gobuster e ffuf fazem o mesmo trabalho mais rápido pela linha de comando.

A maioria dessas ferramentas vem pré-instalada no Kali Linux, mas o Kali não é estritamente necessário. Cada uma roda em Linux, macOS ou Windows comum com o gerenciador de pacotes certo. Para um iniciante, o Kali é conveniente porque a configuração já está feita.

Metodologias e padrões

O teste profissional segue metodologias publicadas para que dois testadores avaliando o mesmo alvo cubram o mesmo terreno. Você não precisa memorizá-las, mas deve saber que existem e recorrer a elas ao definir o escopo de um trabalho ou escrever um relatório.

O OWASP Web Security Testing Guide é a referência para testes de aplicações web. Ele divide o teste em categorias (autenticação, gerenciamento de sessão, validação de entrada e mais) com verificações específicas em cada uma. Para um passeio amigável a iniciantes, escrevemos um guia dedicado ao OWASP WSTG.

Para trabalhos mais amplos, o NIST SP 800-115, "Technical Guide to Information Security Testing and Assessment", é o framework padrão do governo, e o Penetration Testing Execution Standard (PTES) define um processo de sete etapas, do pré-engajamento ao relatório. O framework MITRE ATT&CK cataloga técnicas reais de adversários e é a linguagem comum que testadores e defensores usam para descrever o que foi feito. O OSSTMM é mais antigo e mais acadêmico; a maioria dos testadores em atividade recorre, no dia a dia, ao OWASP WSTG e ao PTES.

O valor prático de uma metodologia é a cobertura. Sob pressão de prazo, é fácil correr atrás do primeiro bug interessante e esquecer de verificar o tratamento de sessão ou o controle de acesso. Uma lista de verificação tirada desses padrões mantém o teste honesto.

Como se tornar um pentester

O teste de penetração é um ofício aprendido pela prática estruturada, não só pela leitura. O caminho abaixo é o que a maioria dos testadores em atividade seguiu em alguma variação, e se apoia na habilidade mais ampla do hacking como disciplina.

Construa a base

Três coisas vêm antes da exploração: redes (TCP/IP, DNS, HTTP), sistemas operacionais (a linha de comando do Linux e os fundamentos do Windows) e ao menos uma linguagem de script, onde Python é o padrão. Você não consegue explorar o que não entende, e a maioria dos iniciantes que falha pulou essa parte para ir direto rodar ferramentas.

Escolha uma especialidade e treine-a

As aplicações web são o ponto de entrada mais rápido porque tudo de que você precisa é um navegador e o Burp Suite. O teste de rede e Active Directory paga bem, mas exige mais ferramental e um laboratório em casa. Qualquer que seja a escolha, o ciclo de aprendizado é o mesmo: ler sobre uma classe de vulnerabilidade, explorá-la em laboratório, escrever o que aprendeu e repetir com a próxima.

Obtenha uma certificação quando estiver pronto

As certificações não são o objetivo, mas ajudam a ser contratado e entrevistado. A Offensive Security Certified Professional (OSCP) é a certificação ofensiva de entrada mais respeitada, construída em torno de uma prova prática de 24 horas em que você compromete máquinas em uma rede isolada. Nosso guia de preparação para a OSCP cobre como se preparar sem se esgotar. Os salários refletem a demanda: pentesters em atividade nos Estados Unidos costumam ganhar entre US$ 90.000 e US$ 150.000, com especialistas seniores indo além.

Considerações legais e éticas

A legalidade se resume a três perguntas: quem é o dono do alvo, que autorização você tem e o que você faz com o que encontra. Testar seus próprios sistemas é legal. Testar os sistemas de uma empresa sem um documento de escopo assinado é quase sempre crime, mesmo quando as falhas são óbvias e suas intenções são boas.

O teste autorizado acontece em três cenários. O primeiro são trabalhos pagos sob um contrato assinado que define escopo, cronograma e metodologia. O segundo são os programas de bug bounty geridos por plataformas como HackerOne e Bugcrowd, onde as regras do programa concedem permissão para testar dentro de limites definidos. O terceiro são os ambientes de prática isolados, como plataformas de labs e eventos CTF, onde os alvos pertencem à plataforma e são explicitamente oferecidos ao ataque.

Duas salvaguardas mantêm você longe de problemas. Nunca teste nada que você não possua ou para o qual não tenha permissão escrita, e, quando tiver permissão, fique estritamente dentro do escopo documentado. A forma mais rápida de encerrar uma carreira em segurança é encontrar algo interessante logo fora do escopo e decidir "dar uma olhadinha rápida" para ver se é explorável.

Como praticar teste de penetração

Você não pode praticar legalmente em sistemas de produção, então precisa de alvos feitos para isso. Três opções funcionam bem. As competições CTF oferecem desafios selecionados e com tempo limitado que afiam habilidades específicas. As máquinas virtuais propositalmente vulneráveis deixam você praticar cadeias de exploração completas offline. As plataformas de labs sempre disponíveis dão centenas de aplicações e máquinas vulneráveis acessíveis sempre que você tem uma hora.

O erro que a maioria dos iniciantes comete é ler e assistir em vez de fazer. Você pode assistir a cinquenta horas de vídeos de pentest e ainda travar na primeira vez que um formulário de login real está na sua frente. A habilidade vem das repetições: varrer, enumerar, explorar, escalar, escrever o relatório, repetir. Um lab guiado que conduz você por esse ciclo nas primeiras vezes encurta muito a curva de aprendizado.

Os labs da HackerDNA rodam no navegador sem configuração, o que remove a maior barreira que os iniciantes enfrentam: passar um fim de semana lutando contra uma VM Kali quebrada em vez de realmente hackear. Comece com um lab guiado, siga os passos e tente o próximo sem olhar.

Última verificação: junho de 2026.