Innehållsförteckning:
Video: Komma igång med team och kanaler 2024
Innan du utför ett säkerhetsprov eller ett etiskt hack bör du samla så mycket information om systemet och dess sårbarheter som möjligt. Mängden information du kan samla om en företags affärs- och informationssystem som är allmänt tillgänglig på Internet är svimlande. För att se själv kan de tekniker som beskrivs här användas för att samla information om din egen organisation.
Sociala medier
Sociala medier är de nya sätten för företag att interagera på nätet. Om du läser följande webbplatser kan du få otydliga uppgifter om en viss verksamhet och dess personer:
-
Facebook
-
LinkedIn
-
Twitter
-
YouTube
Som du säkert har sett, är anställda ofta mycket framträdande om vad de göra för arbete, detaljer om sin verksamhet, och till och med vad de tycker om sina chefer - speciellt efter att ha kastat tillbaka några när deras sociala filter har gått på spår! Du kan också hitta intressant inblick utifrån vad tidigare anställda säger om sina tidigare arbetsgivare på Glassdoor.
Websökning
Genom att utföra en webbsökning eller helt enkelt bläddra på din organisations webbplats kan du få följande information:
-
Anställdsnamn och kontaktuppgifter
-
Viktiga företagsdatum
-
Inlämningsansökningar
-
SEC-arkiv (för offentliga företag)
-
Pressmeddelanden om fysiska rörelser, organisationsförändringar och nya produkter
-
Sammanslagningar och förvärv
-
Patent och varumärken
-
Presentationer, artiklar, webbsändningar eller webbseminarier
Bing och Google tar bort information - allt från ordbehandlingsdokument till grafikfiler - på någon offentligt tillgänglig dator. Och de är gratis. Hela böckerna har skrivits om att använda Google, så förvänta dig att någon brottslig hacker är ganska erfaren i att använda det här verktyget, inklusive mot dig.
Med Google kan du söka på Internet på flera sätt:
-
Skriva nyckelord. Denna typ av sökning avslöjar ofta hundratals och ibland miljontals informationssidor - som filer, telefonnummer och adresser - som du aldrig gissade var tillgängliga.
-
Utför avancerade webbsökningar. Googles avancerade sökalternativ kan hitta webbplatser som länkar tillbaka till ditt företags webbplats. Denna typ av sökning avslöjar ofta mycket information om partners, säljare, kunder och andra anslutningar.
-
Använda switchar att gräva djupare in på en webbplats. Om du till exempel vill hitta ett visst ord eller en fil på din webbplats, anger du bara en rad som ett av följande i Google:
webbplats: www.din_domän. com sökordssida: www. din_domän. com filnamn
Du kan även göra en generell filtypsökning över hela Internet för att se vad som dyker upp, till exempel:
filtyp: swf company_name
Använd föregående sök för att hitta Flash. swf-filer, som kan laddas ned och dekompileras för att avslöja känslig information som kan användas mot din verksamhet.
Använd följande sökning för att leta efter PDF-dokument som kan innehålla känslig information som kan användas mot ditt företag:
filtyp: pdf företagsnamn konfidentiellt
Webbkryptering
Webbkrypningsverktyg, till exempel HTTrack-webbplats Kopiator, kan spegla din webbplats genom att ladda ner varje offentligt tillgänglig fil från den, vilket liknar hur en web sårbarhetsscanner genomsöker webbplatsen som den testar. Du kan sedan inspektera den kopian av webbplatsen offline och gräva till följande:
-
Webbplatsens layout och konfiguration
-
Kataloger och filer som inte annars är uppenbara eller lättillgängliga
-
Webben HTML och skriptkod på webben sidor
-
Kommentarfält
Kommentarfält innehåller ofta användbar information som namn och e-postadresser till utvecklarna och intern IT-personal, servernamn, programvaruversioner, interna IP adresseringssystem och allmänna kommentarer om hur koden fungerar. Om du är intresserad kan du förhindra att vissa typer av webbkryptering görs genom att skapa Tillåta inmatningar i din webbservers robotar. txt-fil som beskrivs vid w3. org. Du kan till och med göra det möjligt att ta bort webborttagning i vissa brandväggar och system för intrångsskydd (IPS). Men sökrobotar (och angripare) som är klara nog kan hitta sätt runt dessa kontroller.
Kontaktinformation för utvecklare och IT-personal är utmärkt för socialtekniska attacker.
Webbplatser
Följande webbplatser kan ge specifik information om en organisation och dess anställda:
-
Regerings- och företagswebbplatser:
-
Hoovers och Yahoo! Finansiering ger detaljerad information om offentliga företag.
-
Webbplatsen för din statssekreterare eller liknande organisation kan erbjuda inkorporering och företagsofficerinformation.
-
-
Bakgrundskontroller och annan personlig information, från webbplatser som:
-
LexisNexis. com
-
ZabaSearch
-