Habilidades pentest-checklist
🛡️

pentest-checklist

Seguro

Planejar Testes de Penetração Profissionais

Esta habilidade fornece uma estrutura abrangente para planejar e executar testes de penetração, garantindo autorização adequada, definição de escopo e acompanhamento de remediação para avaliações de segurança eficazes.

Suporta: Claude Codex Code(CC)
⚠️ 65 Ruim
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "pentest-checklist". Quais são as fases principais de um teste de penetração?

Resultado esperado:

Um pentest segue tipicamente cinco fases: 1) Definição de Escopo (objetivos, ameaças, limites), 2) Preparação do Ambiente (configuração do ambiente de teste, varredura de baseline), 3) Seleção de Expertise (seleção de fornecedor, definição de metodologia), 4) Monitoramento (monitoramento de segurança, configuração de logging), 5) Remediação (análise de descobertas, verificação de correção).

A utilizar "pentest-checklist". O que deve ser incluído em um documento de escopo de pentest?

Resultado esperado:

Um documento de escopo de pentest deve incluir: sistemas alvo (IPs, domínios, aplicações), itens fora do escopo, técnicas de teste permitidas, cronograma e agendamento, credenciais de acesso fornecidas, contatos de emergência, confirmação de autorização legal e requisitos de conformidade.

A utilizar "pentest-checklist". Como avalio fornecedores de teste de penetração?

Resultado esperado:

Avalie fornecedores por: verificar certificações (OSCP, GPEN, CEH, CREST), revisar amostras de relatórios para qualidade e detalhe, verificar experiência com organizações similares, confirmar alinhamento de metodologia (OWASP, PTES), avaliar processos de comunicação e verificar referências de clientes similares.

Auditoria de Segurança

Seguro
v1 • 2/24/2026

This skill is a documentation/guide for planning legitimate penetration tests. The static analyzer flagged example commands (nmap, nikto, tcpdump), tool references, and cloud provider documentation links. All flagged items are legitimate security testing educational content shown in markdown code blocks - they are not executable code. The skill emphasizes authorization, legal compliance, and proper scoping. All 31 static findings are FALSE POSITIVES.

1
Arquivos analisados
340
Linhas analisadas
4
achados
1
Total de auditorias

Problemas de Alto Risco (4)

SKILL.md:109-115SKILL.md:197-204SKILL.md:321-322
Static Analyzer Flag: Example Security Tools Referenced
Example commands in code blocks (nmap, nikto, tcpdump, sudo) are LEGITIMATE security testing tools shown for educational purposes in markdown documentation. These are not executable by the skill - they are example references for users to understand pentest methodology.
SKILL.md:130-132
Static Analyzer Flag: Hardcoded URLs to Cloud Provider Docs
URLs to AWS, Azure, GCP security documentation are legitimate reference links for penetration testing policies.
SKILL.md:68SKILL.md:138SKILL.md:217SKILL.md:248-255SKILL.md:300
Static Analyzer Flag: System/Network Reconnaissance Keywords
Mentions of reconnaissance, scanning tools, and testing techniques are part of legitimate security education - explaining what pentesters test FOR, not how to attack without authorization.
SKILL.md:254
Static Analyzer Flag: Malware Type Keywords
Mentions of 'backdoors' appear in the cleanup procedure section - instructing users to REMOVE test artifacts, not create them.
Auditado por: claude

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
85
Conteúdo
32
Comunidade
65
Segurança
91
Conformidade com especificações

O Que Você Pode Construir

Avaliação de Segurança pela Primeira Vez

Um gestor de segurança planejando a primeira avaliação externa de pentest de sua organização usa esta habilidade para entender definição de escopo, orçamento e critérios de seleção de fornecedores.

Planejamento Anual de Pentest

Um diretor de TI agenda testes de penetração recorrentes e usa a habilidade para garantir autorização adequada, preparação do ambiente e rastreamento de remediação.

Coordenação de Exercício de Red Team

Um líder de red team usa a habilidade para coordenar exercícios completos de simulação de adversário, incluindo definição de escopo, regras de engajamento e limpeza pós-exercício.

Tente Estes Prompts

Planejamento Básico de Pentest 
Ajude-me a planejar um teste de penetração para a aplicação web da minha empresa. Quais são as fases principais que devo seguir?
Definir Escopo de Pentest 
O que devo incluir no documento de escopo para um pentest de aplicação web? Quais sistemas são tipicamente dentro e fora do escopo?
Selecionar Tipo de Teste 
Qual é a diferença entre teste de penetração black box, gray box e white box? Qual devo escolher para minha avaliação de rede externa?
Planejamento de Remediação 
Após receber resultados de pentest, como devo priorizar e rastrear a remediação das descobertas?

Melhores Práticas

  • Sempre obtenha autorização legal por escrito antes do teste
  • Defina limites claros de escopo e documente exclusões
  • Agende testes durante períodos de baixo tráfego
  • Garanta logging e monitoramento abrangentes durante o teste
  • Planeje tempo de remediação e teste de verificação após resultados

Evitar

  • Testar em produção sem salvaguardas adequadas
  • Pular a fase de documentação de autorização
  • Permitir escopo de teste ilimitado sem limites
  • Ignorar descobertas que parecem de baixa severidade
  • Não agendar teste de verificação de acompanhamento

Perguntas Frequentes

Esta habilidade é um substituto para testadores de penetração profissionais?
Não. Esta habilidade fornece orientação de planejamento e checklists. Testadores de penetração profissionais com certificações adequadas (OSCP, GPEN) devem executar o teste real.
Quais tipos de testes de penetração posso planejar com esta habilidade?
Você pode planejar pentests de rede externa, pentests de rede interna, testes de aplicação web, avaliações de engenharia social e exercícios de red team.
Com que frequência devo conduzir testes de penetração?
Teste anual é o mínimo para a maioria das organizações. Ambientes de alto risco, mudanças frequentes ou requisitos regulatórios (PCI-DSS) podem exigir teste trimestral ou contínuo.
Quais frameworks de conformidade esta habilidade aborda?
A habilidade referencia requisitos de conformidade GDPR, PCI-DSS e HIPAA para teste de segurança.
Posso usar esta habilidade para programas de bug bounty?
Sim, a habilidade menciona bug bounty como alternativa ou complemento ao teste de penetração tradicional para avaliação de segurança contínua.
O que devo fazer com as descobertas do pentest?
Priorize descobertas por severidade de risco, desenvolva planos de remediação, implemente correções e agende teste de verificação para confirmar que vulnerabilidades foram resolvidas.

Detalhes do Desenvolvedor

Autor

sickn33

Licença

MIT

Repositório

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/pentest-checklist

Referência

main

Estrutura de arquivos

📄 SKILL.md