Pensano che io sia il loro reparto IT ... Cosa fare al riguardo?

Naviga le tue risposte
4

Mi è stato chiesto di testare eventuali falle di sicurezza per un'azienda. Ho creato un account e-mail che sembra simile all'indirizzo del loro dipartimento IT e tutti stanno rispettando :) Ho solo chiesto loro di inviarmi alcune cose semplici come i loro IP WAN. Voglio fare un ulteriore passo avanti, forse un po 'di backdoor? o alcuni file dal loro computer? Niente di malevolo, roba da cappello bianco ecc.

Che cosa raccomandi di raccomandare nella prossima email?

    
posta Duclaws 28.06.2013 - 23:28
fonte

1 risposta

8

Prima di tutto quello che fai sembra una penna. test / test di sicurezza. È molto importante fare questo tipo di test per assicurarsi di avere un documento firmato fuori campo da qualcuno che ha autorità presso la società che stai testando, in quanto senza che tu possa fare qualcosa di cui la società non sarebbe felice. Inoltre, senza l'autorizzazione dell'azienda, alcune azioni violerebbero le leggi locali sulla criminalità informatica.

Quindi, supponendo che tu abbia un'autorizzazione generale per gli attacchi in stile "social engineering", dipenderà dal tuo obiettivo.

  • Chiedere a un utente di aprire un file che ti dà accesso alla rete interna sarebbe un'opzione (usando qualcosa come SET o Metasploit per generare il payload
  • Chiedi a un utente di fornire la propria password. In base al tuo ambito di applicazione, se hai successo, puoi usare questo per accedere a cose come i sistemi di webmail per dimostrare che gli aggressori possono ottenere accesso non autorizzato alle informazioni aziendali in questo modo.
risposta data 28.06.2013 - 23:34
fonte

Leggi altre domande sui tag

Quanto è sicuro il codice compilato da ionCube? domanda di pre-filtraggio log SIEM