Wie man Footprinting Verwenden Sie ein Ethical Hack zu planen
Eine Möglichkeit, die Planung einer ethischen Hack auf Ihr Geschäft zu beginnen, ist durch einen Prozess häufig genannt Fußabdrucks.
Menu
Sammeln Sie die Information der Öffentlichkeit
Die Menge an Informationen, die Sie über eine Organisation, die Geschäfts-und Informationssysteme sammeln können, ist atemberaubend und im Internet weit verbreitet. Ihre Aufgabe ist es, herauszufinden, was da draußen ist. Anhand dieser Informationen können Angreifer und Mitarbeiter bestimmte Bereiche der Organisation zum Ziel, einschließlich der Abteilungen und Schlüsselpersonen.
Die folgenden Techniken können verwendet werden, um Informationen über Ihre Organisation zu sammeln.
Sozialen Medien
Social-Media-Sites sind die neuen Mittel für Unternehmen, die Interaktion online. Durchlesen der folgenden Seiten können ungezählte Details zu einem bestimmten Geschäft bieten und seine Menschen:
Web-Suche
Durchführen einer Web-Suche oder einfach die Website Ihrer Organisation Surfen können die folgenden Informationen auftauchen:
Mitarbeiternamen und Kontaktinfos
Wichtige Unternehmensdaten
Incorporation Filings
SEC eingereichten Unterlagen
Pressemitteilungen über körperliche Bewegungen, organisatorische Veränderungen und neue Produkte
Fusionen und Übernahmen
Patente und Marken
Präsentationen, Artikel, Webcasts oder Webinare
Mit Google können Sie das Internet auf verschiedene Arten suchen:
Durch die Eingabe von Suchbegriffen: Diese Art der Suche zeigt, oft Hunderte und manchmal Millionen von Seiten von Informationen - wie zum Beispiel Dateien, Telefonnummern und Adressen -, dass man nie verfügbar erraten waren.
Durch die Durchführung erweiterte Web-Suche: Googles erweiterte Suchoptionen können Websites, die auf die Website Ihres Unternehmens Link zurück. Diese Art der Suche zeigt oft eine Vielzahl von Informationen über Partner, Lieferanten, Kunden und anderen Verbindungen.
Durch die Schalter mit tiefer in eine Website zu graben: Zum Beispiel, wenn Sie ein bestimmtes Wort oder eine Datei auf Ihrer Website zu finden, füllen Sie einfach eine Zeile wie eine der folgenden Optionen in Google eingeben:
Website: your_domain.com keywordsite: your_domain.com Dateiname
Sie können sogar eine generische Datei des Typs Suche über das gesamte Internet tun, um zu sehen, was dreht, wie dies:
filetype: swf company_name
Verwenden Sie die vorherigen Suche Flash finden .swf Dateien, die heruntergeladen und dekompiliert werden können sensible Informationen zu enthüllen, die gegen Ihr Unternehmen eingesetzt werden kann.
Verwenden Sie die folgende Suche nach PDF-Dokumenten auf die Jagd, die vertrauliche Informationen enthalten könnten, die gegen Ihr Unternehmen verwendet werden können:
filetype: pdf company_name vertraulich
Web Crawling
Web-Crawling-Dienstprogramme wie HTTrack Website Copier, können Sie Ihre Website spiegeln, indem jeder öffentlich zugänglichen Datei aus dem Download. Sie können dann die Kopie der Website offline inspizieren, zu graben in die folgenden:
Die Website-Layout und Konfiguration
Verzeichnisse und Dateien, die sonst nicht mag offensichtlich oder leicht zugänglich sein
Die HTML- und Script-Quellcode von Web-Seiten
Kommentarfelder
Kommentarfelder enthalten oft nützliche Informationen wie Namen und E-Mail-Adressen der Entwickler und interne IT-Personal, Servernamen, Softwareversionen, interne IP-Adressierungsverfahren und allgemeine Bemerkungen darüber, wie der Code funktioniert.
Webseiten
Die folgenden Websites bieten können spezifische Informationen über eine Organisation und ihre Mitarbeiter:
Regierung und Business-Websites:
hoovers.com und https://finance.yahoo.com geben detaillierte Informationen über die öffentlichen Unternehmen.
sec.gov/edgar.shtml zeigt SEC eingereichten Unterlagen von öffentlichen Unternehmen.
uspto.gov bietet Patent- und Markenanmeldungen.
Die Website für Ihren Stand der Secretary of State oder ähnliche Organisation kann den Einbau und Corporate Officer Informationen bieten.
Background Checks und andere persönliche Informationen:
Verbinden Sie das Netz
Wenn Sie Ihr Netzwerk zuordnen, können Sie öffentliche Datenbanken und Ressourcen zu suchen, um zu sehen, was andere Leute über Ihr Netzwerk wissen.
Wer ist
Der beste Ausgangspunkt ist eine Whois Lookup ausführen, indem Sie eine der Whois-Tools im Internet. Sie können Whois verwendet haben, um zu überprüfen, ob eine bestimmte Internet-Domain-Namen zur Verfügung steht.
Aus ethischen Hacking, bietet Whois die folgenden Informationen, die ein Hacker ein Bein geben kann ein Social-Engineering-Angriff zu starten oder ein Netzwerk zu scannen:
Internet-Domain-Namen-Registrierung Informationen wie Kontaktnamen, Telefonnummern und Anschriften
DNS-Server verantwortlich für Ihre Domain
Sie können Whois Informationen an einem der folgenden Orte sehen:
Ein Domain-Registrar Website, wie godaddy.com
Ihr ISP-Tech-Support-Website
Ein großer Whois-Tool DNSstuff.com. Obwohl dieses Tool nicht mehr frei ist und verwendet wird, viele Dienstleistungen zu verkaufen, ist es immer noch eine gute Ressource. Eine weitere gute Website ist mxtoolbox.com.
Sie können direkt DNS-Abfragen laufen aus mxtoolbox.com nach
Anzeige allgemeiner Domain-Registrierungsinformationen
Show, die Host-E-Mail (der Mail Exchanger oder MX-Eintrag) für eine Domain-Griffe
Karte die Lage von bestimmten Hosts
Bestimmen Sie, ob der Host auf bestimmte Spam-Blacklists gelistet
Eine kostenlose Website, die Sie für weitere grundlegende Internet-Domain-Abfragen verwenden können, ist https://dnstools.com.
Die folgende Liste zeigt verschiedene Lookup-Websites für andere Kategorien:
Google Groups
Google Groups überraschende öffentliche Netz Informationen zu offenbaren. Suchen Sie nach Informationen wie Ihre vollständig qualifizierten Domänennamen (FQDNs), IP-Adressen und Benutzernamen. Sie können Millionen von Usenet-Beiträge zu suchen, die für die Öffentlichkeit und oft sehr privaten Informationen zurück bis 1981 datieren.
Sie könnten einige Informationen finden, die Sie nicht öffentlich gemacht wurde ahnten, wie die folgenden:
Eine technische Unterstützung oder Nachricht im Forum erstellt, die zu viele Informationen über Ihre Systeme preisgibt. Viele Menschen, die Nachrichten wie diese Posten nicht erkennen, dass ihre Nachrichten mit der Welt geteilt werden oder wie lange sie aufbewahrt werden.
Vertrauliche Informationen über das Unternehmen durch unzufriedene Mitarbeiter oder Kunden gebucht.
Wenn Sie, dass vertrauliche Informationen über Ihr Unternehmen zu entdecken ist im Internet veröffentlicht, können Sie in der Lage zu erhalten, es entfernt. Schauen Sie sich die Google Groups-Hilfeseite um für weitere Einzelheiten.
Datenschutzrichtlinien
Prüfen Sie die Datenschutzrichtlinien der Website. Eine gute Praxis ist die Nutzer Ihrer Website wissen zu lassen, welche Informationen gesammelt und wie sie geschützt ist, wird, aber nichts mehr.