Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite

Tem gente que abre o Burp Suite contra o primeiro site que aparece no Google e ja se sente pentester. Isso da cadeia em pelo menos 30 paises, inclusive no Brasil pela Lei 12.737. A unica saida sensata e montar um lab proprio, isolado e cheio de alvos legalmente vulneraveis, antes de tocar em qualquer alvo real. Neste guia, a equipe Basilisk monta um ambiente reproducivel em uma maquina com 16GB de RAM, usando DVWA, OWASP Juice Shop e Burp Suite Community como trio inicial. Tudo roda em uma rede host-only do VirtualBox, sem nenhum bit vazando para o mundo externo.

Comece pela camada de isolamento, porque ela e o que separa pesquisa de incidente. Crie uma VM Kali Linux 2026.1 com duas placas: uma NAT desligavel para baixar updates e outra host-only na faixa 192.168.56.0/24. As maquinas alvo (uma Ubuntu 22.04 rodando DVWA via Docker e outra Ubuntu rodando Juice Shop na porta 3000) ficam SOMENTE na host-only. Bloqueie qualquer rota default nelas com `ip route del default`. Esse mesmo principio aparece com mais profundidade em Pivoting com Chisel e Ligolo-ng: Redes Segmentadas em Lab de Pentest quando voce comeca a segmentar sub-redes. Snapshots antes de cada sessao economizam horas de re-instalacao.

Suba o DVWA com `docker run --rm -it -p 80:80 vulnerables/web-dvwa` e ajuste o nivel de seguranca para low no primeiro contato. O objetivo nao e completar todos os modulos no dia um, e sim entender o ciclo: observar requisicao no Burp, modificar parametro, observar resposta, escrever payload, repetir. O modulo de SQL Injection do DVWA e o classico para destravar o raciocinio, mas eu recomendo voce comparar com a cobertura aprofundada em SQL Injection na Pratica: Explorando, Detectando e Mitigando em Lab Controlado depois do primeiro `' OR 1=1-- -` funcionar. Mesma logica vale para XSS: brinque no DVWA e aprofunde em XSS Moderno: DOM, Stored e Reflected com Exemplos Reais em Ambiente de Teste.

O Juice Shop e um upgrade brutal de realismo. E um SPA Angular com 100+ desafios, scoreboard escondido, JWT mal validado e endpoint REST cheio de IDOR. Suba com `docker run --rm -p 3000:3000 bkimminich/juice-shop` e configure o Burp Suite Community como proxy em 127.0.0.1:8080. Importe o certificado CA do Burp no Firefox dedicado do Kali (NUNCA no navegador pessoal) para interceptar TLS. Para quem quer estender o aprendizado de APIs, Pentest de APIs REST e GraphQL: Checklist Tecnico para Bug Bounty Legal cobre o fluxo GraphQL que o Juice Shop expoe em `/api`. E SSRF Descomplicado: Explorando Cloud Metadata em Lab AWS Local complementa com a parte de SSRF que aparece nos desafios mais avancados.

Configure o Burp com escopo agressivamente restrito. Em Target > Scope, adicione apenas `192.168.56.0/24` e marque a opcao de bloquear out-of-scope traffic. Isso evita o pesadelo classico do estagiario que deixou o Intruder ligado e atacou uma CDN. Crie um Project File por alvo (`dvwa.burp`, `juiceshop.burp`) para nao misturar findings. Habilite o Logger++ via BApp Store para ter trilha completa, e instale a extensao Param Miner para descobrir headers escondidos. Quem trabalha em equipe deve ler OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal antes de subir qualquer print em chat publico, mesmo que pareca inofensivo.

Documente cada exploit com tres pecas: requisicao crua, payload exato e comportamento esperado vs observado. Use uma Obsidian vault dedicada ao lab, com tags por OWASP Top 10. Quando descobrir que o Juice Shop tem upload de avatar mal filtrado, escreva o write-up antes de ir para o proximo desafio; essa disciplina e o que diferencia hobbyista de profissional, e o assunto e tratado de forma direta em Explorando Vulnerabilidades de Upload de Arquivos sem Quebrar a Lei. Faca backup criptografado da vault, porque seu caderno de exploits vale ouro e tambem da problema se vazar.

Antes de fechar a sessao, derrube as VMs com `VBoxManage controlvm poweroff` e revogue o NAT temporario. Reverta o snapshot limpo se voce instalou algo experimental, especialmente extensoes Burp de terceiros (auditadas raramente). O takeaway pratico: trate seu lab como um reator nuclear pequeno, com diario de bordo, redes segregadas e snapshots obrigatorios. Quando estiver confortavel com DVWA e Juice Shop, migre para HackTheBox, TryHackMe ou bug bounty programs com escopo escrito. Pratica sem escopo nao e pentest, e crime federal com pena de ate quatro anos. Disciplina de lab e o que mantem voce do lado certo da linha.