フットプリントを使用して倫理的ハックダミーを計画する方法

ビジネスの倫理的ハッキングを計画する1つの方法は、 フットプリントと呼ばれることもあります。 フットプリントを通して、他の人があなたの組織やシステムについて知ることができます。フットプリントのプロセスは次のとおりです。

公開情報の収集

組織のビジネスおよび情報システムについて収集できる情報の量は、驚異的でインターネット上で広く入手できます。あなたの仕事は、そこに何があるかを見つけることです。この情報により、悪意のある攻撃者や従業員は、部門や主要人物を含む組織の特定の分野を対象とすることができます。

<！ - 1 - >

あなたの組織に関する情報を収集するために、以下のテクニックを使用することができます。

ソーシャルメディア

ソーシャルメディアサイトは、オンラインでビジネスを行う新しい手段です。

• Facebook

• LinkedIn

• Pinterest

• Twitter

• YouTube

<！次のサイトを熟読すると、 社名および連絡先

重要な会社の日付

会社の提出書類

• SECの提出書類

• 身体的な動き、組織の変更、および新製品に関するプレスリリース

• 合併および買収

• <！

• キーワードを入力することによって：

• この種のコンテンツは、Googleのウェブサイトで公開されています。頻繁に数百、時には推測できなかった数百万ページの情報（ファイル、電話番号、住所など）が利用可能になっています。

  高度なウェブ検索を実行すること：

• Googleの詳細検索オプションでは、あなたの会社のウェブサイトにリンクしているサイトを見つけることができます。このタイプの検索では、多くの場合、パートナー、ベンダー、クライアント、およびその他の提携先に関する多くの情報が明らかになります。

• スイッチを使用してウェブサイトを詳しく調べる：

たとえば、ウェブサイトで特定の単語やファイルを検索する場合は、Googleに次のような行を入力します。

• site： www。あなたのドメイン。 comキーワードサイト：www。あなたのドメイン。 com filetype：swf company_name

• 前の検索を使ってFlashを探すことができます。 swfファイルは、ダウンロードしてデコンパイルして、あなたのビジネスに使用できる機密情報を明らかにすることができます。 あなたのビジネスに使用できる機密情報が含まれている可能性のあるPDFドキュメントを検索するには、次の検索を使用します。

• filetype：pdf company_name機密情報 Web crawling

HTTrackのWebサイトコピー機は、公開されているすべてのファイルをダウンロードしてWebサイトをミラーリングできます。

ウェブサイトのレイアウトと設定

明白でないか、容易にアクセスできないディレクトリとファイル

WebのHTMLとスクリプトのソースコード

コメントフィールド

コメントフィールドには、開発者と内部IT担当者の名前と電子メールアドレス、サーバー名、ソフトウェアバージョン、内部IPアドレッシングスキーム、コードの動作に関する一般的なコメント。

ウェブサイト

以下のウェブサイトは、組織と従業員に関する特定の情報を提供する場合があります。

• 政府および企業のウェブサイト：

• www。フーバー。 comとhttp：// financeにあります。 yahoo。 comは公開企業に関する詳細情報を提供しています。

• www。秒である。 gov / edgar。 shtmlは公開企業のSEC提出を示しています。

• www。 uspto。 govは特許および商標登録を提供しています。

州務長官または類似組織のウェブサイトは、設立および執行役員の情報を提供することができます。

バックグラウンドチェックおよびその他の個人情報：

LexisNexis。 com

• ZabaSearch

  • ネットワークのマップ

  • ネットワークをマップすると、公開データベースとリソースを検索して、他の人がネットワークについて知っていることを知ることができます。

  • Whois

  • インターネット上で利用可能なWhoisツールのいずれかを使用してWhois検索を実行するのが最善の出発点です。 Whoisを使用して、特定のインターネットドメイン名が利用可能かどうかを確認している可能性があります。

• 倫理的なハッキングのために、Whoisは、社会工学の攻撃を開始したり、ネットワークをスキャンしたりするためのハッカーを提供する以下の情報を提供します。

  • 連絡先名、電話番号、あなたのドメインを担当するDNSサーバー

  • Whois情報は、次のいずれかの場所で検索できます。

Whois。 net

wwwなどのドメインレジストラのサイト。ゴダディcom

ISPの技術サポートサイト

Whoisの素晴らしいツールはDNSstuffです。 com。このツールは、もはや無料ではなく、多くのサービスを販売するために使用されていますが、それでも優れたリソースです。もう一つの良いウェブサイトはwwwです。 mxtoolbox。 com。

wwwから直接DNSクエリを実行できます。 mxtoolbox。 comに

• 一般的なドメイン登録情報を表示する

• ドメインの電子メール（メールエクスチェンジャまたはMXレコード）を処理するホストを表示する

特定のホストの場所をマップする

• 特定のスパムブラックリスト

• より基本的なインターネットドメインクエリに使用できる無料サイトはhttp：// dnstoolsです。 com。

• 次のリストは、他のカテゴリのさまざまな検索サイトを示しています：

軍事

AFRINIC

• APNIC

• ARIN

• LACNIC

• RIPEネットワークコーディネーションセンター

Google Groups

Googleグループは、驚くべき公共ネットワーク情報を明らかにすることができます。完全修飾ドメイン名（FQDN）、IPアドレス、ユーザー名などの情報を検索します。あなたは1981年にさかのぼる何百万ものUsenet投稿を公開したり、非常に個人的な情報として検索したりすることができます。

• 次のように、あなたが気付いていなかった情報が公開されている可能性があります。

• あなたのシステムに関する情報を漏らしているテクニカルサポートまたは掲示板。このようなメッセージを投稿する多くの人々は、自分のメッセージが世界に共有されているか、どれくらい長く保管されているか分からない。

• 不満を持った従業員または顧客が掲示した機密情報。

• あなたの会社に関する機密情報がオンラインで公開されていることが判明した場合は、削除することができます。詳細については、Googleグループのヘルプページをご覧ください。

• プライバシーポリシー

• ウェブサイトのプライバシーポリシーを確認します。良い方法は、サイトのユーザーに、どのような情報が収集され、どのように保護されているかを知ることです。