차례:
비디오: 한국블록체인협회의 자율규제 심사를 통과한 한빗코 거래소 KISA의 보안 수준 점검 소피아 김 밋업 김성아 대표 2024
보안 테스트 또는 윤리적 해킹을 수행하기 전에 가능한 한 시스템 및 취약점에 대한 많은 정보를 수집해야합니다. 인터넷에서 널리 사용되는 조직의 비즈니스 및 정보 시스템에 대해 수집 할 수있는 정보의 양은 엄청납니다. 자신에게 맞는 기술을 사용하여 자신의 조직에 대한 정보를 수집 할 수 있습니다.
소셜 미디어
소셜 미디어 사이트는 온라인에서 상호 작용하는 비즈니스를위한 새로운 수단입니다. 다음 사이트를 이용하면 특정 비즈니스 및 직원에 대한 세부 정보를 제공 할 수 있습니다.
-
Facebook
-
LinkedIn
-
Twitter
-
YouTube
아마 목격 한 것처럼 직원은 종종 업무에 대한 세부 사항, 비즈니스에 대한 세부 정보, 심지어는 상사에 대한 생각까지도 포함 할 수 있습니다. 특히 소셜 필터가 작동하지 않을 때 몇 가지를 다시 던진 후! 또한 전직 직원이 Glassdoor의 이전 고용주에 대해 말하는 것에 근거하여 흥미로운 통찰력을 발견 할 수 있습니다.
웹 검색
웹 검색을 수행하거나 단순히 조직 웹 사이트를 탐색하면 다음 정보가 표시 될 수 있습니다.
-
직원 이름 및 연락처 정보
-
중요한 회사 날짜
-
SEC 신청서 (상장 회사)
-
신체적 움직임, 조직 변경 및 신제품에 대한 보도 자료
-
특허 및 상표
-
프리젠 테이션, 기사, 웹 캐스트 또는 웹 세미나
-
Bing과 Google은 워드 프로세서 문서에서 그래픽 파일에 이르는 모든 정보를 공개적으로 액세스 할 수있는 컴퓨터. 그리고 그들은 자유 롭습니다. Google을 사용하는 것에 대한 책이 모두 작성되었으므로이 도구를 사용하는 범죄자가 누구인지 잘 알고 있어야합니다.
Google을 사용하면 여러 가지 방법으로 인터넷을 검색 할 수 있습니다:
입력 키워드. 이러한 종류의 검색은 파일, 전화 번호 및 주소와 같이 수백 가지가 아닌 때로는 추측 할 수없는 수백만 페이지의 정보를 제공합니다.
-
고급 웹 검색 수행. Google의 고급 검색 옵션을 사용하면 회사 웹 사이트로 연결되는 사이트를 찾을 수 있습니다. 이 유형의 검색은 종종 파트너, 공급 업체, 고객 및 기타 제휴에 대한 많은 정보를 나타냅니다.
-
스위치를 사용하여 웹 사이트를 더 깊이 파고 들기. 예를 들어 웹 사이트에서 특정 단어 나 파일을 찾으려면 Google에
-
site: www 중 하나와 같은 줄을 입력하면됩니다.your_domain. com 키워드 사이트: www. your_domain. com filename 전체 인터넷에서 일반적인 파일 형식 검색을 수행하여 다음과 같이 표시되는 내용을 확인할 수도 있습니다.
filetype: swf company_name
앞의 검색을 사용하여 플래시를 찾습니다. swf 파일은 다운로드하여 디 컴파일하여 비즈니스에 사용할 수있는 중요한 정보를 표시합니다.
다음 검색을 사용하여 비즈니스에 사용할 수있는 중요한 정보가 들어있는 PDF 문서를 검색하십시오.
filetype: pdf company_name 기밀
웹 크롤링
HTTrack 웹 사이트와 같은 웹 크롤링 유틸리티 복사기는 웹 취약점 스캐너가 테스트중인 웹 사이트를 크롤링하는 것과 마찬가지로 공개적으로 액세스 할 수있는 모든 파일을 다운로드하여 웹 사이트를 미러링 할 수 있습니다. 그런 다음 웹 사이트의 복사본을 오프라인으로 검사하여 다음을 조사 할 수 있습니다.
웹 사이트 레이아웃 및 구성
명확하지 않거나 쉽게 액세스 할 수없는 디렉토리 및 파일
-
웹의 HTML 및 스크립트 소스 코드 페이지
-
주석 필드
-
주석 필드에는 개발자 및 내부 IT 담당자의 이름 및 전자 메일 주소, 서버 이름, 소프트웨어 버전, 내부 IP 주소 지정 체계 및 코드 작동 방식에 대한 일반적인 설명과 같은 유용한 정보가 포함되어있는 경우가 많습니다. 관심이있는 경우 웹 서버의 로봇에 Disallow 항목을 만들어 일부 웹 크롤링 유형을 방지 할 수 있습니다. w3에 개설 된 txt 파일. org. 특정 방화벽 및 침입 방지 시스템 (IPS)에서 웹 타 피팅을 활성화 할 수도 있습니다. 그러나 충분히 똑똑한 크롤러 (및 공격자)는 이러한 제어를 둘러싼 방법을 찾을 수 있습니다.
-
개발자 및 IT 담당자의 연락처 정보는 사회 공학 공격에 유용합니다.
웹 사이트
다음 웹 사이트는 조직 및 직원에 대한 특정 정보를 제공 할 수 있습니다.
정부 및 기업 웹 사이트:
후버 및 Yahoo! 재정은 공기업에 대한 자세한 정보를 제공합니다.
-
주 또는 기타 유사한 기관의 웹 사이트는 법인 및 회사 임원 정보를 제공 할 수 있습니다.
-
배경 확인 및 기타 개인 정보:
-
LexisNexis와 같은 웹 사이트. com
-
-
ZabaSearch
