压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

8 月初，可致 1.06 億用戶個(gè)人及財(cái)務(wù)信息被盜的 Capital One 數(shù)據(jù)泄露震驚 IT 安全社區(qū)。該事件也凸顯出滲透測試比以往更為重要的事實(shí)。

如果你最近恰好有機(jī)會上過道德黑客課程，那你可能已經(jīng)了解了以下 5 步滲透測試基本過程：

1. 偵察：收集目標(biāo)相關(guān)的大量信息，讓攻擊過程更容易執(zhí)行。

2. 掃描：發(fā)現(xiàn)開放端口、主機(jī)上運(yùn)行的服務(wù)，以及可以檢測到的其他漏洞。

3. 獲取訪問權(quán)限：運(yùn)用社會工程、漏洞利用等各種不同技術(shù)實(shí)際執(zhí)行攻擊。

4. 維持訪問權(quán)限：確保裝有可以繼續(xù)訪問且不被目標(biāo)察覺的后門。

5. 掩蹤匿跡：沒人想被警方 “請” 去喝茶，就算是黑客大佬也不想。

雖說全部五個(gè)步驟都很重要，但第一個(gè)步驟顯然是所有事情真正啟動的按鈕。安全界通常將這個(gè)步驟中收集到的數(shù)據(jù)稱為“開源情報(bào)” (OSINT)。

可用于獲取 OSINT 的源。

8 月初的黑帽大會上，網(wǎng)絡(luò)安全公司 Trustwave 發(fā)布了一款新的滲透測試工具，名為 AttackSurfaceMapper (ASM)，采用 Python 3.x 開發(fā)，兼容所有主流操作系統(tǒng)，可幫助滲透測試員提高 “偵察” 效率。

其節(jié)省時(shí)間提高效率的方法，是通過 3 個(gè)經(jīng)簡化的過程：

1. 用戶輸入目標(biāo)域名、子域名或 IP 地址

2. 該工具使用上一步中給出的目標(biāo)標(biāo)識，從大量公開來源收集有價(jià)值的情報(bào)

3. 用戶選擇將收集到的數(shù)據(jù)以 HTML、CSV 或 TXT 文件格式導(dǎo)出，查閱其中可能包含的電子郵件、關(guān)聯(lián) IP 地址、用戶名、已泄露密碼、電話號碼、社交媒體痕跡等等信息。

該工具官方 GitHub 頁面除了提供下載，還附有詳細(xì)使用說明。開發(fā)人員將第一步后的整個(gè)過程描述為：

AttackSurfaceMapper 結(jié)果輸出截屏?？偠灾?，AttackSurfaceMapper 可算是近些年來網(wǎng)絡(luò)安全界巨大發(fā)展的又一明證。AttackSurfaceMapper 之類工具唯一的缺點(diǎn)就是，白帽黑客可以之增強(qiáng)自身系統(tǒng)防御的同時(shí)，黑帽黑客亦可利用該公開可用的工具從事惡意活動。

不過，相較之下，IT 安全社區(qū)應(yīng)利用其各項(xiàng)功能測試自身資產(chǎn)，因?yàn)槟軓闹蝎@得的好處是十分巨大的。

OSINT：

https://osintframework.com/

黑帽大會 AttackSurfaceMapper 主題：

https://www.blackhat.com/us-19/arsenal/schedule/index.html#attack-surface-mapper-automate-and-simplify-the-osint-process-16713

AttackSurfaceMapper Github 頁面：

https://github.com/superhedgy/AttackSurfaceMapper

AttackSurfaceMapper Trustwave 博客：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacksurfacemapper-automate-and-simplify-the-osint-process/