このアプリについて
初心者向けの倫理的ハッキングに関する情報のこのアプリ - ガイドには、倫理的ハッキングが含まれている情報が含まれていました。倫理的ハッキングとは何ですか?
侵入テストまたはペンテストとも呼ばれる倫理的ハッキングは、組織の防御をテストするためにコンピューターとデバイスに法的に侵入しています。それは誰もが関与できる最もエキサイティングなITの仕事の1つです。あなたは文字通り最新のテクノロジーに追いつき、逮捕されるという脅威なしにコンピューターに侵入するために報酬を得ています。
企業は、倫理的なハッカーを関与させて、システムの脆弱性を特定します。侵入テスターの視点から、マイナス面はありません。現在の防御を過去にハッキングした場合、攻撃者がそれを発見する前にクライアントに穴を閉じる機会を与えました。何も見つからない場合、クライアントは今ではシステムを「有料ハッカーでさえ侵入できないほど十分に安全に保護されている」と宣言できるので、さらに幸せです。 win-win!
倫理的なハッカーは何をしますか?
スコープと目標設定 -
プロのペンテスターにとって、合意された範囲と目標について文書化することが不可欠です。これらは、あなたが尋ねる必要がある範囲に関する種類の質問です。
*テストの範囲はどのようなコンピューター資産ですか?
*すべてのコンピューター、特定のアプリケーションまたはサービス、特定のOSプラットフォーム、またはモバイルデバイスとクラウドサービスのみが含まれていますか?
*スコープには、Webサーバー、SQLサーバー、ホストOSレベルのすべてのコンピューターなど、特定のタイプのコンピューター資産のみが含まれていますか?ネットワークデバイスは含まれていますか?
*ペンテストには、自動化された脆弱性スキャンを含めることができますか?
*ソーシャルエンジニアリングは許可されていますか?もしそうなら、どのような方法ですか?
*ペンテストを許可する日付は何ですか?
*浸透テストを試してはならない日か時間はありますか(意図しない停止やサービスの中断を避けるため)。
*テスターは、サービスの中断を引き起こさないように最善を尽くす必要がありますか、それともテストの重要な部分であるサービスの中断を含む、実際の攻撃者が何らかの問題を引き起こす可能性がありますか?
*侵入テストは、Blackbox(ペンテスターには関係するシステムまたはアプリケーションの内部詳細がほとんどないか、まったくないことを意味します)またはWhiteBox(攻撃されたシステムの内部知識があることを意味します。
*コンピューターのセキュリティディフェンダーはペンテストについて通知されますか、それともテストの一部は防御者が気付くかどうかを確認しますか?
*プロの攻撃者(例えば、レッドチーム)がディフェンダー(例えば、青いチーム)によって検出されずに侵入を試みる場合、または実際の侵入者が既存の検出と予防を設定するかどうかを確認するために使用する通常の方法を使用する場合防御?
倫理的なハッカーになる方法
ハッカーは、倫理的なハッカーになるためにいくつかの一般的な措置を講じる必要があります。その最低限は、何かに侵入する前に、適切な人々から許可を文書化したことを確認することです。法律を破らないことは、倫理的なハッカーであることにとって最も重要です。すべての専門的な侵入テスターは、倫理規定に従って、彼らが行うすべてのことを導くべきです。認定倫理ハッカー(CEH)試験の作成者であるEc-councilは、利用可能な最高のパブリックコードの1つを持っています
