ハッキングダミーのチートシート - ダミー

By Kevin Beaver

すべてのハッキングが悪いわけではありません。この本のセキュリティテストでは、コンピューティング環境のセキュリティ上の弱点や欠陥が明らかになりました。このチートシートでは、ツールやヒントのクイックリファレンスを提供し、一般的にハッキングされたターゲット - セキュリティテストの作業を容易にするために必要な情報を警告します。

不可能なハッキングツール

情報セキュリティの専門家として、あなたのツールキットは、実地体験や常識を除いて、ハッキングに対して最も重要なアイテムです。あなたのハッキングツールは、以下のものから構成されている必要があります（そして、あなたがそれらなしで仕事をしていないことを確認してください）：

<！ NmapやNetScanTools Proなどのネットワークスキャンソフトウェア

• ネットワーク脆弱性スキャンソフトウェア などのパスワードクラッキングソフトウェア

• 、 Cain&AbelやCommViewなどのネットワークアナライザソフトウェア、 WiFiネットワーク用のAircrack-ngやCommViewなどの無線ネットワークアナライザとソフトウェア

• など、LanGuardやNexpose FileLocator Pro

• Webアプリケーション脆弱性スキャンソフトウェア、Acunetix Web Vulnerability Scanner、AppSpider Database security scanning software、

• などのファイル検索ソフトウェア >

  Metaploit

• 、犯罪ハッカーがターゲットとする共通セキュリティの弱点 <！ - 3 - >

• 情報セキュリティ専門家は、犯罪ハッカーや悪意のあるユーザーがコンピュータシステムをハッキングする際に最初に確認する一般的なセキュリティ上の弱点を知る必要があります。 あいまいで過度に信頼するユーザー

• 無担保の建物とコンピュータルームの入り口 破棄されていない破棄された文書とコンピュータが見つかりました破壊されていないディスク

• ファイアウォール保護がほとんどまたはまったくないネットワーク境界 不適切なファイル、不適切なファイルまたは共有アクセス制御

Metasploit

Webなどのフリーツールを使用して悪用できるパッチのないシステム弱い認証メカニズムを持つアプリケーション

企業のネットワーク環境に一般人が接続できるようにするゲスト無線ネットワーク

• フルディスク暗号化を使用しないラップトップコンピュータ

• アプリケーション、データベース、およびオペレーティングシステムのパスワードが脆弱であるかどうか

• デフォルトまたは簡単に推測されるパスワードを持つファイアウォール、ルータ、およびスイッチ

• 一般的にハッキングされるポート

• TCPポート80（HTTP）他のポートが見落とされ、ハッカーに脆弱になる可能性があります。

• TCPポート21 - FTP（ファイル転送プロトコル）

• TCPポート22 - SSH（Secure Shell）

• TCPポート23 - Telnet

• TCPポート25 - SMTP（簡易メール転送プロトコル）

• TCPおよびUDPポート53 - DNS（ドメインネームシステム）

• TCPポート443 - HTTP（HTTP over SSL） TCPポート110 - POP3（Post Office Protocolバージョン3）

• TCPおよびUDPポート135 - Windows RPC

TCPおよびUDPポート137-139 - Windows NetBIOS over TCP / IP

TCPポート1433およびUDPポート1434 - Microsoft SQL Server

• 成功したITセキュリティ評価のヒント

• システムをハッキングから保護するには、セキュリティ評価が必要です。自社のシステムまたは第三者のセキュリティテストを実行している場合でも、成功するためには賢明で実用的でなければなりません。セキュリティ評価のヒントは、情報セキュリティ専門家としての役割を果たすのに役立ちます。

• 目標を設定し、開始する前に計画を立てます。

• あなたのテストを実行する許可を得てください。

• 手元の作業に適したツールを利用できます。

• ビジネスに最適なタイミングでテストします。

• テスト中にキープレーヤーをループに入れます。

• すべての

• セキュリティ脆弱性をすべてのシステムで検出することは不可能であることを理解する。

• 悪質なハッカーや不正なインサイダーの行動や戦術を調べます。悪意のある人たちの行動を知るほど、セキュリティ脆弱性についてシステムをテストするほうがよいでしょう。

技術的でないセキュリティ問題を見過らさないでください。彼らはしばしば最初に悪用される。

すべてのテストが上にあることを確認します。

• 他の人々の機密情報を、あなた自身のものと同様に扱います。

• あなたが見つけた脆弱性を管理者に引き出し、できるだけ早く適切な対策を実施します。

• 発見されたすべての脆弱性を同じ方法で処理しないでください。すべての弱点が悪いわけではありません。空が落ちていると宣言する前に発見された問題のコンテキストを評価します。

• セキュリティ検査が良好なビジネスであり、あなたはその職務に適した専門家であると経営陣と顧客に示します。セキュリティアセスメントは、ビジネス目標を達成し、本当に重要なものを見つけ出し、さまざまな法律や規制に従うための投資です。

• 馬鹿げたハッカーゲームはありません

• 。