Cara menggunakan footprinting untuk merancang hack etika - dummies

Satu cara untuk memulakan merancang hack etika pada perniagaan anda adalah melalui proses sering dipanggil tapak kaki. Melalui footprinting, anda melihat apa yang orang lain dapat melihat tentang organisasi dan sistem anda. Berikut ialah proses untuk tapak kaki:

Kumpulkan maklumat awam

Jumlah maklumat yang boleh anda kumpulkan tentang perniagaan dan sistem maklumat organisasi adalah mengejutkan dan banyak tersedia di Internet. Tugas anda adalah untuk mengetahui apa yang ada di sini. Maklumat ini membolehkan penyerang berniat jahat dan pekerja menargetkan bidang tertentu organisasi, termasuk jabatan dan individu utama.

Teknik berikut boleh digunakan untuk mengumpulkan maklumat mengenai organisasi anda.

Media sosial

Laman media sosial adalah cara baru untuk perniagaan berinteraksi dalam talian. Perusing tapak-tapak berikut boleh memberikan butiran terperinci mengenai mana-mana perniagaan dan orang-orang yang diberikan:

• Facebook

• LinkedIn

• Pinterest

• Twitter

• YouTube

Carian web

Melakukan carian web atau hanya melayari laman web organisasi anda boleh menyertakan maklumat berikut:

• Nama pekerja dan maklumat hubungan

• Tarikh penting syarikat

• Pemerbadanan pemerbadanan

• Pemfailan SEC

• Siaran pers mengenai pergerakan fizikal, perubahan organisasi, dan produk baru

• Penggabungan dan pengambilalihan

• Paten dan tanda dagangan

• Presentasi, artikel, webcast atau webinar

Dengan Google, anda boleh mencari Internet dengan beberapa cara:

• Dengan menaip kata kunci: pencarian sering mendedahkan beratus-ratus dan kadang-kadang berjuta-juta halaman maklumat - seperti fail, nombor telefon, dan alamat - yang anda tidak pernah menebak telah tersedia.

• Dengan melakukan carian web lanjutan: Pilihan carian maju Google dapat mencari tapak yang menghubungkan kembali ke tapak web syarikat anda. Jenis carian ini sering mendedahkan banyak maklumat mengenai rakan kongsi, vendor, pelanggan, dan afiliasi lain.

• Dengan menggunakan suis untuk menggali lebih mendalam ke dalam laman web: Sebagai contoh, jika anda ingin mencari perkataan atau fail tertentu di tapak web anda, masukkan baris seperti salah satu yang berikut ke dalam Google:

www. your_domain. com kata kunci laman: www. your_domain. nama fail com

Anda juga boleh melakukan carian filetype generik di seluruh Internet untuk melihat apa yang muncul, seperti ini:

filetype: swf company_name

Gunakan carian sebelumnya untuk mencari Flash. fail swf, yang boleh dimuat turun dan dikompilasi untuk mendedahkan maklumat sensitif yang boleh digunakan terhadap perniagaan anda.

Gunakan carian berikut untuk memburu dokumen PDF yang mungkin mengandungi maklumat sensitif yang boleh digunakan terhadap perniagaan anda:

filetype: pdf company_name confidential

Web crawling

Utiliti web yang merangkak, seperti laman web HTTrack Fotokopi, boleh mencerminkan laman web anda dengan mengunduh setiap file yang dapat diakses secara umum dari itu. Anda kemudian dapat memeriksa salinan laman web tersebut di luar talian, menggali ke dalam berikut:

• Tata letak laman web dan konfigurasi

• Direktori dan fail yang mungkin tidak jelas atau mudah diakses

• HTML dan kod sumber skrip web halaman

• Bidang komen

Bidang komen sering mengandungi maklumat berguna seperti nama dan alamat e-mel pembangun dan personil IT dalaman, nama pelayan, versi perisian, skema alamat IP dalaman, dan ulasan umum tentang bagaimana kod berfungsi.

Laman Web

Laman web berikut boleh memberikan maklumat khusus tentang organisasi dan pekerjanya:

• Laman web kerajaan dan perniagaan:

  • www. mengongkong. com dan // finance. yahoo. com memberikan maklumat terperinci mengenai syarikat awam.

  • www. sec. gov / edgar. shtml menunjukkan pemfailan SEC syarikat awam.

  • www. uspto. gov menawarkan pendaftaran paten dan tanda dagangan.

  • Laman web untuk Setiausaha negara anda atau organisasi yang serupa boleh menawarkan maklumat kemasukan dan pegawai korporat.

• Pemeriksaan latar belakang dan maklumat peribadi lain:

  • LexisNexis. com

  • ZabaSearch

Peta rangkaian

Apabila anda memetakan rangkaian anda, anda boleh mencari pangkalan data dan sumber awam untuk melihat apa yang orang lain tahu tentang rangkaian anda.

Whois

Titik permulaan yang terbaik adalah melakukan carian Whois dengan menggunakan mana-mana alat Whois yang terdapat di Internet. Anda mungkin menggunakan Whois untuk memeriksa sama ada nama domain Internet tertentu tersedia.

Untuk hacking etika, Whois menyediakan maklumat berikut yang boleh memberikan seorang hacker satu kaki untuk memulakan serangan kejuruteraan sosial atau mengimbas rangkaian:

• Maklumat pendaftaran nama domain internet, seperti nama kenalan, nombor telefon, dan alamat surat

• DNS pelayan yang bertanggungjawab untuk domain anda

Anda boleh melihat maklumat Whois di salah satu tempat berikut:

• Whois. net

• Situs pendaftar domain, seperti www. godaddy. com

• Laman sokongan teknologi ISP anda

Alat Whois yang hebat adalah DNSstuff. com. Walaupun alat ini tidak lagi bebas dan digunakan untuk menjual banyak perkhidmatan, ia masih merupakan sumber yang baik. Satu lagi laman web yang baik ialah www. mxtoolbox. com.

Anda boleh menjalankan pertanyaan DNS secara langsung dari www. mxtoolbox. com ke

• Paparkan maklumat pendaftaran domain umum

• Tunjukkan host yang menangani e-mel (Mail Exchanger atau rekod MX) untuk domain

• Peta lokasi tuan rumah tertentu

• Tentukan sama ada tuan rumah disenaraikan pada senarai hitam spam tertentu

Sebuah tapak percuma yang boleh anda gunakan untuk pertanyaan domain Internet yang lebih asas ialah // dnstools. com.

Senarai berikut menunjukkan pelbagai laman pencarian untuk kategori lain:

• Kerajaan

• Tentera

• AFRINIC

• APNIC

• ARIN

• LACNIC

• RIPE Network Coordination Center

Google Groups

Kumpulan Google boleh mendedahkan maklumat rangkaian awam yang mengejutkan.Cari maklumat seperti nama domain anda yang berkelayakan (FQDN), alamat IP, dan nama pengguna. Anda boleh mencari jutaan jawatan Usenet yang bermula dari tahun 1981 untuk maklumat umum dan kerap sangat peribadi.

Anda mungkin mendapati beberapa maklumat yang anda tidak sedari telah diumumkan kepada umum, seperti yang berikut:

• Dukungan teknologi atau papan mesej mesej yang memberikan banyak maklumat tentang sistem anda. Ramai orang yang menyiarkan mesej seperti ini tidak menyedari bahawa mesej mereka dikongsi dengan dunia atau berapa lama mereka disimpan.

• Maklumat syarikat rahsia yang disiarkan oleh pekerja atau pelanggan yang tidak puas hati.

Jika anda mendapati maklumat rahsia mengenai syarikat anda disiarkan dalam talian, anda mungkin dapat mengeluarkannya. Lihat laman bantuan Kumpulan Google untuk butirannya.

Dasar privasi

Semak dasar privasi laman web anda. Amalan yang baik adalah untuk membolehkan pengguna laman web anda mengetahui maklumat yang dikumpulkan dan bagaimana ia dilindungi, tetapi tidak ada lagi.