Админы выбрались на природу и,  рассаживаясь вокруг костра, начинают рассказывать страшные истории про хакеров. Вам интересно, как начинает работать хакер? Что такое след заголовка?

В российских реалиях этот вид деятельности, изначально подготовленный к атаке или аудиту безопасности, называется сетевой разведкой или поиском следов (следа) по названию.

Говоря простым языком, это набор действий, выполняемых аудитором-хакером, которые направлены на сбор как можно большего количества информации об атакованном сервере, организации или компьютере жертвы. Часто такие действия называют белым интеллектом, то есть OSINT.

Информация, которая может быть полезна хакеру:

• список веб-сайтов (и whois-доменов) жертвы и опубликованных на них данных, а также их структура (включая скрытые файлы и папки), информация о скриптах на сервере;
• целевой IP и MAC-адреса;
• версии систем, на которых работает жертва или сервер;
• всевозможная информация о пользователях и сотрудниках системы;
• информация о системах предотвращения вторжений (IDS);
• физическое построение внутренней сети жертвы;
• запуск сетевых сервисов (программ) и их версий на сервере или компьютере жертвы;

Большой объем информации необходимо получать вручную путем поиска в различных поисковых системах интернета, а также путем сканирования структуры страниц жертвы с помощью словаря или методом грубой силы (поиск скрытых файлов, которые могут скрывать интересную или секретную информацию). Часто на хостинге скрыты конфигурационные файлы, файлы паролей, проприетарные административные панели, незащищенные загрузчики файлов и интересные фотографии администраторов.

Для этих целей используются следующие интересные инструменты:

• команды поисковой системы Google – этот тип атак с использованием доступной информации в интернете часто называют взломом Google. Информацию о готовых командах для поиска потенциально уязвимых сайтов стоит поискать в интернете, такие списки часто называют “гугл-придурками”. Также есть такие инструменты, как SiteDigger 3.0. Еще стоит использовать специализированную поисковую систему для устройств, потенциально уязвимых для атак Shodan (http://www.shodanhq.com/);
• вы можете использовать инструмент IndirScanner (требуется интерпретатор Perl), а также отличный инструмент от OWASP под названием DirBuster для изучения скрытой структуры веб-сайта (файлов и папок, размещенных на сервере без ссылок из любой точки интернета). Еще один интересный инструмент – Burp Spider. С помощью этих инструментов мы можем искать на веб-сайте данные, скрытые для пользователей без специальных знаний (это тоже следы);

Продолжить чтение “Что такое “след”? Справочник по идентификации личности в интернете”