目录:
视频: 《新闻大求真》20180517期:无人驾驶巴士是如何运行的呢? News and science【芒果TV精选频道】 2024
在进行安全测试或道德黑客攻击之前,您应该尽可能多地收集有关系统及其漏洞的信息。您可以收集到的关于互联网上广泛使用的组织业务和信息系统的信息量是惊人的。要亲自看看,这里概述的技术可以用来收集关于您自己组织的信息。
<! - 1 - >社交媒体
社交媒体网站是企业在线互动的新手段。仔细阅读以下网站可以提供任何特定企业及其员工的详细信息:
-
Facebook
-
LinkedIn
-
Twitter
-
YouTube
正如您可能见证的那样,员工经常非常乐意工作细节,业务细节,甚至是他们对老板的看法 - 尤其是当他们的社交过滤器走出轨道后抛出一些东西!您还可以根据前雇员对Glassdoor前雇主的看法获得有趣的见解。
<! - 2 - >网络搜索
执行网络搜索或简单浏览贵组织的网站可以显示以下信息:
-
员工姓名和联系信息
-
重要公司日期
-
公司注册文件
-
美国证券交易委员会文件(针对上市公司)
-
关于实物动作,组织变更和新产品的新闻稿
<! - 3 - > -
兼并与收购
-
专利与商标
-
演示文稿,文章,网络广播或网络研讨会
Bing和Google从文字处理文档到图形文件任何公共电脑。他们是免费的。整本书都是关于使用Google的书籍,所以希望任何犯罪黑客在使用这个工具方面有相当的经验,包括对付你。
使用Google,您可以通过以下几种方式搜索互联网:
-
输入关键字。 这种搜索通常会显示数百甚至数百万页的信息,例如文件,电话号码和地址,这些信息是您从未猜到的。执行高级的网页搜索。 Google的高级搜索选项可以找到链接到您公司网站的网站。这种类型的搜索往往揭示了很多关于合作伙伴,供应商,客户和其他机构的信息。
-
使用开关深入挖掘网站。 例如,如果您想在自己的网站上找到某个文字或文件,只需在Google中输入如下一行:
-
site:www。您的网域。 com关键字网站:www。您的网域。 com文件名 甚至可以在整个Internet上执行通用文件类型搜索,以查看启动的内容,例如:
filetype:swf company_name
使用上述搜索来查找Flash。 SWF文件,可以下载和反编译,以揭示敏感信息,可用于对您的业务。
使用以下搜索来搜索可能包含可用于您的业务的敏感信息的PDF文档:
filetype:pdf company_name confidential
Web爬网
Web抓取工具,例如HTTrack网站复印机,可以通过下载每个可公开访问的文件来镜像您的网站,类似于网络漏洞扫描器如何抓取正在测试的网站。然后,您可以离线查看该网站的副本,挖掘到以下内容:
网站布局和配置
目录和文件,否则可能不明显或容易访问
-
网站的HTML和脚本源代码页面
-
注释字段
-
注释字段通常包含有用信息,例如开发人员和内部IT人员的名称和电子邮件地址,服务器名称,软件版本,内部IP寻址方案以及有关代码如何工作的一般注释。如果您有兴趣,可以通过在Web服务器的机械手中创建Disallow条目来阻止某些类型的网页爬行。 txt文件,如w3所述。有机您甚至可以在某些防火墙和入侵防御系统(IPS)中启用Web Tarpitting。但是,足够聪明的抓取工具(和攻击者)可以找到解决方法。
-
开发人员和IT人员的联系信息对于社交工程攻击非常有用。
网站
以下网站可能提供有关组织及其员工的具体信息:
政府和企业网站:
Hoovers和Yahoo!财务提供有关上市公司的详细信息。
-
您所在州的国务卿或类似组织的网站可以提供公司和公司官员信息。背景检查和其他个人信息,如:
-
LexisNexis。 COM
-
ZabaSearch
-
