在开始正式进入主题前,觉得可能有必要宣导一下国内刑法规范,根据全国法规资料库所查到的相关资料
刑法第三十六章 - 妨害电脑使用罪
点击左上有点中二的图示,可以看到其实工具都被分类好了,所以接下来的文章可能就依照这个分类,挑选几个想尝试的工具来体验看看。
如果先随机找一个工具点点看,这边以01-Infromation Gathering/DNS Analysis/dnsnum
为例,其实从分类就不难猜出这工具一定跟DNS相关,点下去Kali也会很贴心的以console
自动执行指令的help
来提供该工具的介绍以及使用范例。
因为大部分工具都带有这种纯命令的执行方式,因此直接在console下执行
dnsnum -h
也能得到相同的结果,从而了解到该工具的使用介绍以及使用范例。
通常在进行攻击前,需要先掌握一定的资讯及线索,根据这些情报,进而了解到目标是否存在某些弱点或是漏洞。试着想像一个情境:
某个装置上存放许多重要的私密档案,平常透过网路使用金钥或是帐号密码去存取
如此破烂的描述我想已经足以表达出这样的装置一定很不安全,但到底有多不安全,目前我不知道,你不知道,独眼龙也还不知道,也因此才需要有情报收集这个动作来进一步做确认,找到目标的破绽。也许情报能告诉我们那台装置的位置,使用着老旧的作业系统,而该作业系统有个很严重的漏洞,可以很容易被利用,使攻击者可以破解帐密甚至不需要金钥也能透过其他方式入侵到系统里。而情报的重要性,也不仅适用於攻击者,被攻击者要是能透过对自己装置情报上的了解,也须能早一步进行更新、修正,防患於未然。
这个阶段会牵涉到的议题非常广,像是情报收集也分主动式与被动式,考虑是否避免被目标发现。另外也包含了收集的内容,举凡IP位址、邮件地址、公司组织架构、目标系统使用的框架技术、公开的商业资讯等等,没有什麽资讯是没有用处的,因为这些不同的情报的用途也不一样,一些看似无用的资讯也许可以应用於邮件钓鱼,不过可以讲的部分太多了,这系列文章还是会聚焦在工具上,其他部分有机会再来填坑吧。
明天开始会用到前两天所安装的环境来进行实际的情报收集,请看倌们拭目以待。
>>: Day06 - Python基本语法 Part 3,函式与类别
不怎麽重要的前言 上一篇介绍了while loop的概念,让大家在回圈的使用上可以相对的弹性。 这次...
Covid-19、Delta疫情接连来袭对各方产业都造成了一定的冲击,在如此艰难的时刻里,仍然有一些...
完成API实作之後就要开始build bin档了。 Go开发的过程中,会使用到很多套件, 在Go v...
在应用程序开发中,常会利用人工手动去测试系统的正确,不过当遇到较复杂的系统时,手动测试相对耗时且容易...
如标题,这篇想教大家如何做出一个有CRUD功能的会员管理系统 首先,要先知道CRUD分别代表什麽 C...