Cara Mengumpulkan Maklumat Awam untuk Ujian Keselamatan - patung

Sebelum menjalankan ujian keselamatan atau hack etika, anda harus mengumpulkan maklumat sebanyak mungkin mengenai sistem dan kerentanannya. Jumlah maklumat yang dapat anda kumpulkan tentang perniagaan dan sistem maklumat organisasi yang tersedia secara meluas di Internet adalah mengejutkan. Untuk melihat sendiri, teknik yang digariskan di sini boleh digunakan untuk mengumpulkan maklumat mengenai organisasi anda sendiri.

Media sosial

Laman media sosial adalah cara baru untuk perniagaan berinteraksi dalam talian. Perusing laman-laman berikut boleh memberikan butiran terperinci mengenai mana-mana perniagaan dan orang-orang yang diberikan:

• Facebook

• LinkedIn

• Twitter

• YouTube

Seperti yang mungkin anda saksikan, buat kerja, butir-butir tentang perniagaan mereka, dan juga apa yang mereka fikirkan tentang bos mereka - terutamanya selepas membaling beberapa apabila penapis sosial mereka telah hilang! Anda juga boleh menemui wawasan menarik berdasarkan apa yang dikatakan bekas pekerja tentang bekas majikan mereka di Glassdoor.

Carian web

Melakukan carian web atau hanya melayari laman web organisasi anda boleh menyertakan maklumat berikut:

• Nama pekerja dan maklumat hubungan

• Tarikh penting syarikat

• Pemerbadanan pemerbadanan

• Pemfailan SEC (untuk syarikat awam)

• Siaran akhbar mengenai pergerakan fizikal, perubahan organisasi, dan produk baru

• Penggabungan dan pengambilalihan

• Paten dan tanda dagangan

• Persembahan, artikel, webcast, atau webinar

Bing dan Google menangkap maklumat - dalam segala hal dari dokumen pemproses kata ke fail grafik - mana-mana komputer yang boleh diakses secara umum. Dan mereka bebas. Seluruh buku telah ditulis tentang penggunaan Google, jadi harapkan mana-mana penggodam jenayah cukup berpengalaman menggunakan alat ini, termasuk terhadap anda.

Dengan Google, anda boleh mencari Internet dengan beberapa cara:

• Menaip kata kunci. Carian semacam ini sering mendedahkan beratus-ratus dan kadang-kadang berjuta-juta halaman maklumat - seperti fail, nombor telefon, dan alamat - yang anda tidak pernah menebak telah tersedia.

• Melakukan carian web lanjutan. Pilihan carian maju Google dapat mencari tapak yang menghubungkan kembali ke tapak web perusahaan anda. Jenis carian ini sering mendedahkan banyak maklumat mengenai rakan kongsi, vendor, pelanggan, dan afiliasi lain.

• Menggunakan suis untuk menggali lebih mendalam ke dalam laman web. Sebagai contoh, jika anda ingin mencari perkataan atau fail tertentu di laman web anda, cukup masukkan baris seperti salah satu yang berikut ke dalam Google:

site: www.your_domain. com kata kunci laman: www. your_domain. nama fail com

Anda juga boleh melakukan carian filetype generik di seluruh Internet untuk melihat apa yang muncul, seperti ini:

filetype: swf company_name

Gunakan carian sebelumnya untuk mencari Flash. fail swf, yang boleh dimuat turun dan dikompilasi untuk mendedahkan maklumat sensitif yang boleh digunakan terhadap perniagaan anda.

Gunakan carian berikut untuk memburu dokumen PDF yang mungkin mengandungi maklumat sensitif yang boleh digunakan terhadap perniagaan anda:

filetype: pdf company_name confidential

Web crawling

Utiliti perengkuh Web, seperti Website HTTrack Fotokopi, boleh mencerminkan laman web anda dengan mengunduh setiap fail yang dapat diakses secara umum dari itu, mirip dengan bagaimana pengimbas kerentanan web merangkak laman web yang dia uji. Anda kemudian dapat memeriksa salinan laman web tersebut di luar talian, menggali ke dalam berikut:

• Tata letak laman web dan konfigurasi

• Direktori dan fail yang mungkin tidak jelas atau mudah diakses

• HTML dan kod sumber skrip web halaman

• Bidang komen

Bidang komen sering mengandungi maklumat berguna seperti nama dan alamat e-mel pembangun dan personil IT dalaman, nama pelayan, versi perisian, skema alamat IP dalaman, dan ulasan umum tentang bagaimana kod berfungsi. Sekiranya anda berminat, anda boleh menghalang sesetengah jenis web merangkak dengan membuat penyertaan Disallow di robot pelayan web anda. fail txt seperti yang digariskan pada w3. org. Anda juga boleh mengaktifkan tarp web dalam firewall tertentu dan sistem pencegahan pencerobohan (IPS). Walau bagaimanapun, crawler (dan penyerang) yang cukup pintar dapat mencari jalan sekitar kawalan ini.

Maklumat hubungan untuk pemaju dan personil IT sangat baik untuk serangan kejuruteraan sosial.

Laman Web

Laman web berikut boleh memberikan maklumat khusus tentang organisasi dan pekerjanya:

• Laman web kerajaan dan perniagaan:

  • Hoovers dan Yahoo! Kewangan memberi maklumat terperinci mengenai syarikat awam.

  • Laman web untuk Setiausaha negara anda atau organisasi yang serupa boleh menawarkan maklumat kemasukan dan pegawai korporat.

• Pemeriksaan latar belakang dan maklumat peribadi lain, dari laman web seperti:

  • LexisNexis. com

  • ZabaSearch