Il penetration testing, spesso chiamato semplicemente pentesting o security testing, è la pratica di attaccare i sistemi propri, o dei propri clienti, nello stesso modo in cui un hacker lo farebbe, per scovare falle nei sistemi o buchi nella sicurezza. Certamente, lo si fa senza l’intenzione di danneggiare l’intero network di lavoro.

La persona che sovlge il Penetration test è chiamato Penetration Tester o in gergo, Pentester.

Chiariamo una cosa: I Penetration test richiedono apposite autorizzazioni da parte del proprietario dei sistemi informatici in esame. In caso contrario, voi state hackerando il sistema, ed è considerata una pratica illegale in molti paesi. E fidatevi, non state bene con una divisa arancione addosso.

In altre parole: La differenza tra il Penetration testing e l’hacking sta nei permessi, nel primo caso siete autorizzati a farlo (con un permesso scritto!), e persino pagati. Nel secondo caso è una vostra iniziativa, considerata illegale.

Potete diventare dei pentester anche a casa, facendo esperienza con un vostro server locale, per poi iniziare a far esperienza all’infuori delle mura domestiche.
Dunque per iniziare, consiglio a tutti la lettura di questo breve e-book, che introduce a quello che è la base di un pentester, quindi la conoscenze di exploit, payload e determinati framework.

Un piccolo video dimostrazione sull’utilizzo del framework Metasploit: