Video: Instant Speed Reading Cheat Sheet - Hacks For Dummies 2024
Av Kevin Beaver
Inte all hacking är dålig. Säkerhetsprovningen som beskrivs i denna bok avslöjar säkerhetssvagheter eller brister i dina datoruppsättningar. Detta fuskblad ger dig snabba referenser till verktyg och tips, varnar dig för vanliga hackade mål - information du behöver för att göra dina säkerhetsprovning enklare.
Hackverktyg du kan inte leva utan
Som professionell informationssäkerhet är din verktygslåda det mest kritiska objektet du kan ha mot hackning - annat än praktisk erfarenhet och sunt förnuft. Ditt hackverktyg ska bestå av följande (och se till att du aldrig är på jobbet utan dem):
Nätverksskanningsprogramvara, som Nmap och NetScanTools Pro
Skanningsprogram för nätverkssårbarhet, såsom LanGuard och Nexpose
Nätverksanalysprogramvara, som Cain & Abel och CommView
Trådlös nätverksanalysator och programvara , som Aircrack-ng och CommView for WiFi
, som FileLocator Pro
Skanningsprogram för webbprogram sårbarhet,som t.ex. Acunetix Web Vulnerability Scanner och AppSpider Databas säkerhetsskanningsprogramvara, > som SQLPing3
Exploit-programvara, som Metasploit
Common Security Weaknesses som Criminal Hackers Target
Informationssäkerhetspersonal bör känna till de gemensamma säkerhetsbrister som brottsliga hackare och skadliga användare först kontrollerar när de hackar in i datorsystem. Säkerhetsfel, till exempel följande, bör finnas på din checklista när du utför dina säkerhetsprov: Möjliga och övertroende användare
Osäker byggnad och datorrumsingångar
Kasserade dokument som inte har strukits och datorn skivor som inte har förstörtsNätverksperimetrar med liten eller ingen brandväggsskydd
-
Dålig, olämplig eller saknad fil och dela åtkomstkontrollerna
-
Oöverförda system som kan utnyttjas med hjälp av gratisverktyg som Metasploit
-
Web applikationer med svaga autentiseringsmekanismer
-
Trådlösa trådlösa nätverk som tillåter allmänheten att ansluta till företagsnätverksmiljön
-
Bärbara datorer utan full diskkryptering
-
Mobila enheter med lättlästa lösenord eller inga lösenord alls
-
Svaga eller inga lösenord för applikationer, databaser och operativsystem
-
Brandväggar, routrar och växlar med standard eller lätt gissade lösenord
-
Vanliga hackade portar
-
Vanliga portar, som TCP port 80 (HTTP) kan vara låst - men andra hamnar kan bli förbisedda och vara sårbara för hackare.Se till att du kontrollerar dessa vanliga hackade TCP- och UDP-portar:
-
TCP-port 21 - FTP (File Transfer Protocol)
-
TCP-port 22 - SSH (Secure Shell)
TCP-port 23 - Telnet
TCP-port 25 - SMTP (Simple Mail Transfer Protocol)
-
TCP och UDP-port 53 - DNS (Domännamnssystem)
-
TCP-port 443 - HTTP (Hypertext Transport Protocol) och HTTPS (HTTP över SSL) TCP port 110 - POP3 (Post Office Protocol version 3)
-
TCP och UDP port 135 - Windows RPC
-
TCP och UDP portar 137-139 - Windows NetBIOS över TCP / IP
-
TCP port 1433 och UDP port 1434 - Microsoft SQL Server
-
Tips för framgångsrika IT-säkerhetsbedömningar
-
Du behöver framgångsrika säkerhetsbedömningar för att skydda dina system från hacking. Oavsett om du utför säkerhetsprov mot dina egna system eller för tredje part, måste du vara försiktig och pragmatisk för att lyckas. Dessa tips för säkerhetsbedömningar hjälper dig att lyckas med din roll som professionell för informationssäkerhet:
-
Ställ in mål och utveckla en plan innan du börjar.
-
Få tillåtelse att utföra dina test.
-
Få tillgång till de rätta verktygen för de aktuella uppgifterna.
Test vid en tidpunkt som är bäst för verksamheten.
Håll nyckelaktörerna i slingan under testningen.
-
Förstå att det inte går att upptäcka
-
varje
-
säkerhetsproblem i varje system.
-
Studiera skadlig hackare och oseriösa insiderbeteenden och taktik. Ju mer du vet om hur de dåliga killarna arbetar, ju bättre kommer du att testa dina system för säkerhetsproblem.
-
Utse inte icke-tekniska säkerhetsproblem; De utnyttjas ofta först.
-
Se till att alla dina test är överbord. Behandla andras konfidentiella information åtminstone lika bra som du skulle behandla din egen. Ta med sårbarheter du kommer att uppmärksamma ledningen och genomföra lämpliga motåtgärder så snart som möjligt.
-
Behandla inte varje sårbarhet som upptäckts på samma sätt. Inte alla svagheter är dåliga. Utvärdera sammanhanget av de problem som hittats innan du förklarar att himlen faller.
-
Visa ledning och kunder att säkerhetstester är bra affärer och du är rätt professionell för jobbet. Säkerhetsbedömningar är en investering för att uppfylla affärsmål, hitta vad som verkligen är viktigt och följa de olika lagar och förordningar -
-
inte
-
om dumma hackerspel.