Aunque en muchas ocasiones los administradores de las organizaciones suelen pasar por alto esta etapa y se limitan a evaluar los sistemas y personal desde un punto de vista interno, dejando por fuera muchas amenazas, esto es un grave error, ya que puede que los sistemas de la institución estén alojados en un servidor de terceros y que pueda existir fallas en este servidor que permitan atacar de forma indirecta el sistema.
Esta técnica permite recolectar información que suele ser publicada conscientemente por la organización y en otras ocasiones la información publicada es de carácter confidencial, pero por descuidos esa información puede ser publica y consultada por cualquier persona. Al momento de recabar información es necesario aplicar un conjunto de técnicas para lograr acabo esta etapa.
- Buscar información publicada en internet de la organización utilizando hacking con buscadores, para ello se pueden utilizar buscadores como yahoo, google, bing, shoddan, etc. Con esta técnica puede obtener mucha información, desde acceso a sistemas de una intranet, metadatos nos permitan saber que sistemas operativos utilizan las empresas, los nombres de usuario de los empleados, acceso a servicios desprotegidos que utilizan seguridad por oscuridad, encontrar mas sitios alojados en un mismo servidor, detectar posibles vulnerabilidades, etc.
- Buscar subdominios.
- Consultar el whois, para determinar quien es el propietario de un determinado dominio.
- Fuzzeando webs.
- Obtener información de los DNS.
Una vez que se reúne toda esta información se procede a clasificarla y analizarla para poder preparar vectores de ataque, aunque en algunas situaciones la información obtenida brinda acceso de forma directa a algunos sistemas.
Saludos.
Lexer Pars
******************************************************************************************************************************************************************************************************************************************************************************
Footprinting(I de II)
Footprinting(II de II)
******************************************************************************************************************************************************************************************************************************************************************************
Footprinting(I de II)
Footprinting(II de II)
******************************************************************************************************************************************************************************************************************************************************************************
No hay comentarios:
Publicar un comentario