出於書本 Chapter 1. Introduction to Ethical Hacking
來自於人與人之間操作的破壞,通常是建立在信任的基礎上,比如說機密外流。或是設計一系列不疑有他的程序,藉由使用者的操作達到竊取大量資訊的目的,像是社交工程 (Social engineering)
其他比較暴力的就是破壞實體設備、像是電腦房或是實體資訊室。還有一類是透過翻垃圾桶,看看人們有沒有把一些像是網路架構圖、密碼備份等等重要資訊丟在垃圾桶裡。這類攻擊者的行為稱 dumpster diving 。
透過網際網路攻擊組織的網路架構對於駭客來說是蠻容易的。常見的會有
作業系統攻擊佔駭客攻擊對象中的很大一部分,因為每台電腦上都有作業系統,常見的作業系統攻擊像是:
像是
起碼,要有人同意團隊採取道德駭客測試 。詳細地列出如何測試系統,畢竟,很有可能一個不小心在測試期間系統就被毀掉。測試必須從系統最關鍵或是最脆弱的部分開始,例如密碼、網路應用程式、或是社交工程等。
要替執行道德駭客測試準備一些回復計畫,避免因為執行測試造成防火牆或是應用程式無法正常運作,造成其他人的負擔、甚至資料的不一致。特別像是 DoS 或是社交工程這一類的攻擊。
這樣比較好評估要在一天當中的什麼時間進行,比如是要在上班時間或是清晨。除了 DoS,社交工程以及實體安全性測試這幾樣不適合隨時執行外,最好的就是不要限制攻擊時段,畢竟威脅本來就是隨時都會發生。
只要具備基本的了解即可。
這倒不是要攻倒系統才罷休,而是要持續探索後面可能會發生的影響。
執行駭客測試時不能被發現,因為可能會被其他的使用者發現後,用測試的行為取代一般的行為。最後,訂定計畫,選擇測試工具,執行計畫,然後分析結果。
下一章帶大家從了解敵人的思維及行為啦~