2016-02-07から1日間の記事一覧
Metasploit(メタスプロイト)のペイロードについて ペイロードとは、通信パケットのうち、ヘッダ部を覗いたデータ本体のこと。 e-words.jp Metasploit payload のタイプ Inline Meterpreter (Meta-interpreter) Staged Meerpreter (Meta-interpreter) メタス…
ペネトレーションテストとは 3つの攻撃フェーズに分類される http://mensa-hack.hatenablog.com/entry/2016/02/07/141904 関係者に周知されないunannoucedな攻撃も含まれる 常に攻撃対象が定義される 広義の意味で、ソーシャルエンジニアリングも含まれる
ハッカーとペネトレーションテスターの違い ペネトレーションテスター(倫理ハッカー(Ehtical hackers)) は、事前システムオーナーと合意した、定義されたスコープ(対象範囲)と攻撃内容を順守する ハッカーはそうではない。 プロと素人の違い。
suicide hackerとは、 自分の行動した結果を気にしないハッカー 例えば、Webサイトを攻撃した場合に逮捕されることが分かっていても、それが止められないハッカー。 日本語では自殺ハッカーとでも言うのだろうか?
ペネトレーションテストのフェーズは3つに分けられる pre-attack (preparation) attack (assessment) post-attack (conclusion) pre-attack (preparation) scannnig reconnaissance attack (assessment) penetrate the perimeter acquire targets execute at…
Metasploit 自動テスト可能 Nessus 脆弱性アセスメントツール いろいろなOSの何千もの脆弱性のシグニチャを含む Core Impact 自動テスト可能 CANVAS 自動テスト可能 SAINT 脆弱性アセスメントツール GFI Languard 脆弱性アセスメントツール LOIC(Low Orbit I…
Internal or External Internal - 組織内部からのペネトレーションテスト Extermal - インターネット経由のペネトレーションテスト White box or Black box White box - 攻撃対象のシステムの情報/構成を知った上でのペネトレーションテスト Black box - 攻…
別途まとめます。
ペネトレーションテストの報告書に書かれるべき内容 エグゼクティブサマリ すべてのテストのすべての関係者の名前 発見した脆弱性のリスト(重要なものから順に書くべし) 脆弱性に対する分析と推奨する軽減策 ツールセットのログファイルと証跡 ※EC-council …