網站滲透資安課程學習筆記 (二)
關於滲透攻擊與相關理論以及案例介紹
- 現代滲透太麻煩了,用騙的比較快
社交工程比技術攻擊更快,例如假冒信件 (phishing),往往比技術入侵更有效。
- 關於 SEO 中毒
詐騙集團製作假的官網,利用 seo 讓排名在前面讓使用者點擊
參考文章:https://www.checkpoint.com/tw/cyber-hub/cyber-security/what-is-cyber-attack/what-is-seo-poisoning/
- 案例介紹:星宇假信件,告知機位取消需要再匯款
受害者有求證精神去 google,但是卻是用 email 內的詐騙電話去搜尋,但詐騙集團早就把相關網站準備好
不是 google 有問題,而是求證錯誤,應該搜尋官網驗證資訊
- 邏輯學,介紹若P則Q真值表
若 P 則 Q,不代表非 P 就一定非 Q
| P(下雨) | Q(地面濕) | P → Q | 說明 |
| T | T | T | 今天下雨了,地面也濕了 → 符合預期 → 真 |
| T | F | F | 今天下雨了,但地面卻沒濕 → 矛盾 → 假 |
| F | T | T | 今天沒下雨,但地面濕了(可能因為灑水) → 邏輯上仍然成立 → 真 |
| F | F | T | 今天沒下雨,地面也沒濕 → 沒違反條件 → 真 |
資安防護是由多個防線組成,任何一個點都有可能被突破,被突破後不代表整個都有問題,有可能是某個點。所以出現漏洞,很難查出問題,絕對不要隨便下定論。
- 木桶理論
一個組織的資安強度,不是看哪個部分做得最好,而是最薄弱的環節決定整體安全風險。
資安管理要全面,不能只加強某一部分,忽略薄弱環節,否則「整桶水仍會漏」。
- 資安與成本
做資安防護非常的花錢,所以不是一股腦投錢買設備,正確做法是先評估資料價值,再決定投入多少資安資源。
如果資料只值 10 萬,投入幾百萬防護並不合理。反之,若是關鍵機密資料,就必須投入足夠的防護預算。
- 案例介紹:統聯訂票資料外流
風險處理第一條:不留機密資料,就沒有遺失風險
資安需要花錢,但是若沒有經費做資安,那就不要存下敏感資訊,就算外洩也不具風險
- 風險承受能力
需要先評估、定義好,可承受範圍。若超過這個範圍那就是沒辦法處理的部分
簡單介紹滲透測試
須先界定測試範圍,像是如果是測試內網就不需要防火牆
演練過程:可能進行一百次攻擊,每個攻擊都有不同的功能,看結果有哪幾隻沒被擋,就可以知道是哪邊有問題。攻擊演練很快,但發現問題要修補需要時間
資安領域相關搜尋引擎
介紹幾個常用的相關搜尋引擎,藉由搜尋出主機以及程式版本,再由程式版本漏洞去滲透。
也可用來審視網站是否有已存在的漏洞被掃出,進而修補
1. GHDB
2. Virus Check
3. SHODAN
4. FOFA
5. Censys
OSINT: Open Source Intelligence(開放來源情報)
簡單來說:OSINT 指的是從「公開可取得的資訊來源」收集情報的技術與方法
重點:不涉及駭入系統或非法手段,完全是利用公開資源
資安相關的搜尋引擎或是套件就是 OSINT,都是已公開資源
