Video: Vælg det rette tilbehør til dit el-værktøj 2024
Som med ethvert projekt, hvis du ikke har de rigtige værktøjer til etisk hacking, er det vanskeligt at udføre opgaven effektivt., bare fordi du bruger de rigtige værktøjer, betyder det ikke, at du vil opdage alle sårbarheder.
Kend de personlige og tekniske begrænsninger. Mange sikkerhedsvurderingsværktøjer genererer falske positiver og negativer (fejlagtigt identificerer sårbarheder). Andre bare springe ret over sårbarheder Hvis du udfører tests som social engineering eller fysiske sikkerhedsvurderinger, kan du gå glip af svagheder, fordi sikkerhedstestværktøjer ikke er helt så kloge.
Mange værktøjer fokuserer på specifikke tests, og intet værktøj kan teste for alt. Af samme grund ville du ikke køre i en søm med en skruetrækker. Du bør ikke bruge en tekstbehandler til at scanne dit netværk til åbne porte. Derfor har du brug for et sæt af s specifikke værktøjer, som du kan kalde på til opgaven ved hånden. Jo flere (og bedre) værktøjer du har, desto lettere er din etiske hacking indsats.
Sørg for at du bruger det rigtige værktøj til opgaven:
- For at knække adgangskoder skal du bruge krakningsværktøjer som pwdump3 og Proactive Password Auditor. En generel portscanner, som SuperScan eller Nmap, fungerer bare ikke for at sprænge adgangskoder.
- For en grundig analyse af en webapplikation er et webapplikationsvurderingsværktøj (såsom N-Stalker eller WebInspect) mere hensigtsmæssigt end en netværksanalysator (såsom Ethereal).
Når du vælger det rigtige sikkerhedsværktøj til opgaven, spørg rundt. Få råd fra dine kolleger og fra andre mennesker online. En simpel gruppesøgning på Google eller gennemgang af sikkerhedsportaler, som f.eks. Sikkerhedsfokus, Search Security og It Security, giver ofte gode tilbagemeldinger fra andre sikkerhedseksperter.
Hundredvis, om ikke tusindvis af værktøjer, kan bruges til etisk hacking - fra dine egne ord og handlinger til softwarebaserede sårbarhedsvurderingsprogrammer til hardwarebaserede netværksanalysatorer. Følgende liste løser nogle af de store kommercielle, freeware og open source sikkerhedsværktøjer:
- Cain og Abel
- EtherPeek
- SuperScan
- QualysGuard
- WebInspect
- Proaktiv Password Auditor
- LANguard Netværkssikkerhedsscanner
- RFprotect Mobile
- ToneLoc
Funktionerne i mange sikkerheds- og hackingsværktøjer er ofte misforstået. Denne misforståelse har kastet negativt lys på ellers fremragende og legitime værktøjer.
Nogle af disse sikkerhedsprøvningsværktøjer er komplekse.Uanset hvilket værktøj du bruger, skal du gøre dig fortrolig med dem, før du begynder at bruge dem. Her er måder at gøre det på:
- Læs readme og / eller online hjælpefiler til dine værktøjer.
- Undersøg brugervejledningen til dine kommercielle værktøjer.
- Brug værktøjerne i et laboratorie- / testmiljø.
- Overvej formelt klasseværelsetuddannelse fra sikkerhedsværktøjsleverandøren eller en anden tredjeparts uddannelsesleverandør, hvis det er tilgængeligt.
Se efter disse egenskaber i værktøjer til etisk hacking:
- Tilstrækkelig dokumentation
- Detaljerede rapporter om de opdagede sårbarheder, herunder hvordan de kan udnyttes og repareres
- Generel accept af industrien
- Tilgængelighed af opdateringer og support
- Rapporter på højt niveau, der kan præsenteres for chefer eller nontechie typer
Disse funktioner kan spare dig for en masse tid og kræfter, når du udfører dine tests og skriver dine endelige rapporter.
