Tecniche di penetration testing e hacking etico.

Modulo 1: Penetration Testing e Hacking Etico Cos'è il penetration testing e perché è essenziale nella sicurezza informatica Differenza tra hacking etico e hacking malevolo Responsabilità etiche e legali nell'ambito del penetration testing Modulo 2: Fondamenti di Sicurezza Informatica Panoramica sulle minacce informatiche (malware, phishing, attacchi DDoS, ecc.) Modelli di sicurezza: CIA (Confidenzialità, Integrità, Disponibilità) Introduzione ai principi di difesa perimetrale Modulo 3: Pianificazione e Preparazione del Penetration Test Comprendere gli obiettivi del penetration test Creazione di un piano di test e definizione dei confini Autorizzazioni e documentazione necessaria per effettuare un penetration test etico Modulo 4: Riconoscimento e Raccolta di Informazioni Cos'è il riconoscimento passivo e attivo Tecniche di raccolta informazioni: WHOIS, DNS, ricerca su Google, Shodan Strumenti di raccolta: Nmap, Netcat, Maltego Modulo 5: Scansione delle Vulnerabilità la scansione delle vulnerabilità Strumenti di scansione: Nessus, OpenVAS, Nikto Identificazione di vulnerabilità comuni (porte aperte, versioni di software vulnerabili) Modulo 6: Esecuzione di Attacchi di Rete Tecniche di attacco alle reti: sniffer, ARP spoofing, attacchi MITM Strumenti di attacco: Wireshark, Ettercap, Cain & Abel Concetti di base di attacchi di rete (packet injection, sniffing, spoofing) Modulo 7: Sfruttamento delle Vulnerabilità Cos'è lo sfruttamento delle vulnerabilità? Tecniche comuni di sfruttamento (buffer overflow, iniezioni SQL, XSS) Strumenti di exploit: Metasploit, Core Impact, BeEF Modulo 8: Elevazione dei Privilegi Cos'è l'elevazione dei privilegi e quando avviene Tecniche di elevazione dei privilegi su sistemi Windows e Linux Strumenti: Sudo, WinSudo, Metasploit Modulo 9: Accesso e Mantenimento del Controllo Tecniche per mantenere l'accesso a un sistema compromesso Creazione di backdoor, rootkits e tunneling Strumenti di mantenimento del controllo: Netcat, Reverse Shell Modulo 10: Attacchi Web e Applicazioni Web Principali vulnerabilità nelle applicazioni web: XSS, SQL injection, CSRF Tecniche di attacco contro applicazioni web Strumenti di testing per applicazioni web: Burp Suite, OWASP ZAP, SQLmap Modulo 11: Testing su Sistemi Wi-Fi Analisi e attacchi su reti wireless Attacchi WEP/WPA/WPA2 e tecniche di cracking Strumenti: Aircrack-ng, Reaver, Kismet Modulo 12: Post-Exploitation e Raccolta di Prove Tecniche di post-exploitation: racconto dei dati, log delle attività, rootkits Raccogliere prove digitali durante un penetration test Analisi dei log e creazione di report dettagliati Modulo 13: Simulazione di Attacchi Avanzati (Advanced Persistent Threats - APT) Cos'è un APT e come si differenzia da un attacco tradizionale Tecniche di infiltrazione e persistenza usate negli APT Strumenti e metodologie avanzate: phishing, spear phishing, malware personalizzato Modulo 14: Tecniche di Prevenzione e Difesa Come proteggere le reti e i sistemi da attacchi di penetration testing Principi di hardening dei sistemi e applicazioni Utilizzo di firewall, IDS/IPS, e VPN per la protezione Modulo 15: Redazione del Report di Penetration Test Creazione di un report di penetration testing chiaro e professionale Sezioni principali: scoperta delle vulnerabilità, metodi di attacco, raccomandazioni Best practices per comunicare i risultati ai clienti o ai team di sicurezza