Etik Hack Planı için Ayak İzini Kullanma - mankenler

İşletmenizde etik bir kesmeyi planlamanın bir yolu, bir süreç genellikle ayak izi olarak adlandırılır. Ayak izi kullanarak, diğerlerinin kuruluşunuz ve sistemleriniz hakkında neler görebildiğini görürsünüz. Ayak izi süreci şu şekildedir:

Toplu bilgi toplama

Bir kuruluşun işletme ve bilgi sistemleri hakkında toplamak gereken bilgi miktarı şaşırtıcıdır ve internette yaygın olarak bulunmaktadır. Görevin, orada ne olduğunu bulmaktır. Bu bilgiler, kötü niyetli saldırganların ve çalışanların, departmanlar ve kilit kişiler dahil kuruluşun belirli alanlarını hedeflemelerine olanak tanır.

Aşağıdaki teknikler, kuruluşunuz hakkında bilgi toplamak için kullanılabilir.

Sosyal medya

Sosyal medya siteleri, çevrimiçi etkileşime giren işletmeler için yeni araçtır.

• Facebook

• LinkedIn

• Pinterest

• Twitter

• YouTube

Web araması

Bir web araması gerçekleştirmek veya kuruluşunuzun web sitesine gözatmak şu bilgileri açığa çıkarabilir:

• Çalışan isimleri ve iletişim bilgileri

• Önemli şirket tarihleri ​​

• Kuruluş kareleri

• SEC dosyalanması

• Fiziksel hamle, örgütsel değişiklikler ve yeni ürünler hakkında basın bültenleri

• Birleşmeler ve satın almalar

• Patentler ve ticari markalar

• Sunumlar, makaleler, web yayınları veya web seminerleri

Google ile İnternet'i birkaç yoldan arayabilirsiniz:

• Anahtar kelimeler yazarak: Bu tür Arama, genellikle, tahmin edemediğiniz yüzlerce ve bazen milyonlarca sayfa, örneğin dosyalar, telefon numaraları ve adresler gibi sayfaları ortaya çıkarıyor.

• Gelişmiş web aramaları gerçekleştirerek: Google'ın gelişmiş arama seçenekleri, şirketinizin web sitesine bağlanan siteleri bulabilir. Bu türden arama, çoğu zaman ortaklar, satıcılar, müşteriler ve diğer bağlı kuruluşlar hakkında çok fazla bilgi ortaya çıkarmaktadır.

• Bir web sitesine girmek için anahtarları kullanarak: Örneğin, web sitenizde belirli bir kelimeyi veya dosyayı bulmak istiyorsanız, Google'a aşağıdaki satırlardan birine benzer bir satır girin:

site: www. alanadiniz. com anahtar kelime sitesi: www. alanadiniz. com dosyaadı

İnternette genel olarak ne olduğunu öğrenmek için genel bir dosya türü araması yapabilirsiniz, örneğin:

filetype: swf company_name

Flash'ı bulmak için bir önceki aramayı kullanın. swf dosyaları, işinize karşı kullanılabilecek hassas bilgileri açığa çıkarmak için indirilebilir ve ayrıştırılabilir.

İşletmenize karşı kullanılabilecek hassas bilgileri içerebilecek PDF belgelerini avlamak için aşağıdaki aramayı kullanın:

filetype: pdf company_name confidential

Web'de gezinme

HTTrack web sitesi gibi web tarama yardımcı programları Fotokopi, kamuya açık her dosyayı İnternet'ten indirerek web sitenizi yansıtabilir. Daha sonra, web sitesinin bu kopyasını çevrimdışı olarak inceleyebilir, bunları inceleyebilirsiniz:

• Web sitesi düzeni ve yapılandırma

• Aksi halde açık veya erişilebilir olmayacak dizin ve dosyalar

• Web'in HTML ve komut dosyası kaynak kodu sayfalar

• Yorum alanları

Açıklama alanları genellikle geliştiricilerin adları ve e-posta adresleri, BT personeli, sunucu adları, yazılım sürümleri, dahili IP adresleme şemaları ve kodun çalışma biçimine ilişkin genel yorumlar gibi yararlı bilgileri içerir.

Web siteleri

Aşağıdaki web siteleri, bir kuruluş ve çalışanları hakkında belirli bilgiler sağlayabilir:

• Devlet ve iş web siteleri:

  • www. Elektrik süpürgelerin. com ve // finans. yahoo. com kamu şirketleri hakkında ayrıntılı bilgi verir.

  • www. san. gov / Edgar. shtml kamu şirketlerinin SEC dosyalarını gösterir.

  • www. USPTO. gov patent ve ticari marka tescilleri sunmaktadır.

  • Devletinizin Sekreteri veya benzeri bir organizasyon için web sitesi, kuruluş ve şirket yetkilisi bilgileri sunabilir.

• Arka plan denetimleri ve diğer kişisel bilgiler:

  • LexisNexis. com

  • ZabaSearch

Ağ haritası

Ağınızı eşlediğinizde, genel veritabanlarını ve kaynakları arayarak diğer insanların ağınız hakkında ne bildiğini öğrenebilirsiniz.

Whois

En iyi başlangıç ​​noktası, Internet'teki Whois araçlarından herhangi birini kullanarak bir Whois aramasını gerçekleştirmektir. Belirli bir İnternet alan adının var olup olmadığını kontrol etmek için Whois'i kullanmış olabilirsiniz.

Ethical hacking için, Whois bir hacker'a bir sosyal mühendislik saldırısı başlatmak veya bir ağ taramak için bir bacağını verebilecek aşağıdaki bilgileri sağlar:

• İletişim alan adları, telefon numaraları ve telefon numaraları gibi İnternet alan adı kayıt bilgileri. posta adresleri

• Alanınızdan sorumlu DNS sunucuları

Whois bilgilerine şu yerlerden birinde bakabilirsiniz:

• Whois. net

• www gibi bir alan adı kayıt sitesinde. godaddy. com

• ISS'nizin teknik destek sitesi

Harika bir Whois aracı DNSstuff'tır. com. Bu araç artık ücretsiz olmasa ve birçok hizmeti satmak için kullanılıyorsa da yine de iyi bir kaynaktır. Başka bir iyi web sitesi www'dur. mxtoolbox. com.

DNS sorgularını doğrudan www. Adresinden çalıştırabilirsiniz. mxtoolbox.

• Genel alan adı kayıt bilgilerini göster

• Hangi ana bilgisayarın bir alan adı için e-postayı (Posta Eşleyici veya MX kaydı) işlediğini gösterin

• Belirli ana makinelerin yerlerini eşleyin

• Ana bilgisayarın listelenip listelenmediğini belirleme Bazı spam kara listelerinde

Daha temel Internet alanı sorguları için kullanabileceğiniz ücretsiz bir site // dnstools'dur. com.

Aşağıdaki liste, diğer kategoriler için çeşitli arama sitelerini gösterir:

• Devlet

• Askeri

• AFRİNİK

• APNIC

• ARIN

• LACNIC

• RIPE Ağ Koordinasyon Merkezi

Google Grupları

Google Grupları, şaşırtıcı genel ağ bilgilerini ortaya çıkarabilir.Bu tür bilgileri, tam etki alanı adlarınız (FQDN'ler), IP adresleri ve kullanıcı adları gibi arayın. Halka açık ve genellikle çok özel bilgiler için 1981 yılına dayanan milyonlarca Usenet mesajını arayabilirsiniz.

Aşağıdakiler gibi, kamuya yaptığınızı fark etmediğiniz bazı bilgileri bulabilirsiniz:

• Sisteminiz hakkında çok fazla bilgiyi ifşa eden teknoloji destek veya mesaj panosu mesajı. Böyle mesajlar gönderen birçok kişi, mesajlarının dünyayla paylaşıldığını veya ne kadar süreyle tutulduklarının farkında değil.

• Kayıtsız çalışan veya müşterilerin gönderdiği gizli şirket bilgileri.

Şirketinizle ilgili gizli bilgilerin çevrimiçi yayınlandığını keşfederseniz, şirketten çıkarılabilecek olabilirsiniz. Ayrıntılar için adresindeki Google Grupları yardım sayfasına göz atın.

Gizlilik ilkeleri

Web sitenizin gizlilik politikasını kontrol edin. Sitenizin kullanıcılarına, hangi bilgilerin toplandığı ve nasıl korunduğunun bilinmesine izin vermek iyi bir uygulamadır; ancak başka bir şey yoktur.