Zuhause Persönliche Finanzen Bewertung von Schwachstellen mit ethischen Hacks - Dummies

Bewertung von Schwachstellen mit ethischen Hacks - Dummies

Video: Hacker Buch | So lernst du hacken | Meine Top 3 Hacking Bücher | Hacking Tipps für Anfänger 2025

Video: Hacker Buch | So lernst du hacken | Meine Top 3 Hacking Bücher | Hacking Tipps für Anfänger 2025
Anonim

Im nächsten Schritt müssen Sie überprüfen, ob es sich um Schwachstellen in Ihrem System oder Ihrem Netzwerk handelt. Führen Sie vor dem Testen eine manuelle Suche durch. Sie können Hacker-Foren, Websites und Schwachstellen wie folgt recherchieren:

  • Allgemeine Sicherheitslücken und Gefährdungen

  • US-CERT Vulnerability Notes-Datenbank

  • NIST National Vulnerability Database

Diese Seiten listen bekannte Schwachstellen auf - zumindest die formal klassifizierten. Sie sehen, dass viele andere Schwachstellen generischer Natur sind und nicht leicht klassifiziert werden können. Wenn Sie eine auf einer dieser Websites dokumentierte Sicherheitsanfälligkeit nicht finden können, suchen Sie die Website des Anbieters. Diese Seite enthält die Konsensliste der SANS Top 20 Vulnerabilities, die von der SANS-Organisation zusammengestellt und aktualisiert wird.

Wenn Sie Ihre potenziellen Schwachstellen nicht untersuchen und direkt in Tests einsteigen möchten, haben Sie zwei Möglichkeiten:

  • Manuelle Bewertung: Sie können die potenziellen Schwachstellen bewerten, indem Sie Herstellen einer Verbindung zu den Ports, die den Dienst oder die Anwendung verfügbar machen und in diesen Ports herumstochern. Sie sollten bestimmte Systeme (z. B. Webanwendungen) manuell überprüfen. Die Schwachstellenberichte in den vorangegangenen Datenbanken offenbaren häufig, wie dies zu tun ist - zumindest im Allgemeinen. Wenn Sie viel freie Zeit haben, kann das manuelle Durchführen dieser Tests für Sie funktionieren.

  • Automatische Bewertung: Manuelle Bewertungen sind eine großartige Möglichkeit, um zu lernen, aber für die meisten manuellen Schritte haben die Leute normalerweise keine Zeit.

Viele großartige Tools zur Bewertung von Schwachstellen testen Fehler auf bestimmten Plattformen (z. B. Windows und UNIX) und Arten von Netzwerken (entweder drahtgebunden oder drahtlos). Sie testen auf bestimmte Systemschwachstellen und konzentrieren sich speziell auf die SANS Top 20-Liste und das Open Web Application Security Project.

Versionen dieser Tools können die Geschäftslogik innerhalb einer Webanwendung abbilden. andere können Softwareentwicklern helfen, Codefehler zu testen. Der Nachteil dieser Tools ist, dass sie nur einzelne Schwachstellen finden. Sie korrelieren häufig keine Schwachstellen im gesamten Netzwerk. Das Aufkommen von Sicherheitsinformations- und Ereignisverwaltungssystemen (SIEM) und Schwachstellen-Managementsystemen ermöglicht es diesen Tools jedoch, diese Schwachstellen zu korrelieren.

Ein beliebtes ethisches Hacker-Tool ist ein Schwachstellenscanner namens QualysGuard von Qualys. Es ist sowohl ein Portscanner als auch ein Werkzeug zur Schwachstellenanalyse und bietet eine große Hilfe beim Schwachstellenmanagement.

QualysGuard ist ein Cloud-basiertes Tool, mit dem Sie einfach zur Qualys-Website navigieren, sich bei Ihrem Konto anmelden und die IP-Adresse der Systeme eingeben können, die Sie testen möchten. Qualys verfügt außerdem über eine Appliance, die Sie in Ihrem Netzwerk installieren können, um interne Systeme zu scannen. Sie planen einfach die Bewertung, und dann führt das System Tests durch und erstellt ausgezeichnete Berichte wie die folgenden:

  • Ein Executive Report mit allgemeinen Informationen aus den Ergebnissen des Scans.

  • Ein technischer Bericht über detaillierte Erklärungen der Sicherheitslücken und spezifische Gegenmaßnahmen.

Wie bei den meisten guten Sicherheits-Tools zahlen Sie für QualysGuard. Es ist nicht das least teure Tool, aber Sie bekommen das, wofür Sie bezahlen, besonders wenn es darum geht, dass andere Sie ernst nehmen, wenn Sie PCI DSS-Compliance für Ihr Unternehmen benötigen.

Mit QualysGuard kaufen Sie einen Block von Scans basierend auf der Anzahl der Scans, die Sie ausführen. Eine Alternative zu QualysGuard, auf die viele schwören, ist Rapid7s Nexpose, die zufällig eine kostenlose Version (Community Edition) zum Scannen von bis zu 32 Hosts hat.

Die Bewertung von Schwachstellen mit einem Tool wie QualysGuard erfordert Nachfolge-Know-how. Sie können sich nicht allein auf die Scanergebnisse verlassen. Sie müssen die von ihr gemeldeten Sicherheitsanfälligkeiten überprüfen. Studieren Sie die Berichte, um Ihre Empfehlungen auf den Kontext und die Kritikalität der getesteten Systeme zu stützen.

Bewertung von Schwachstellen mit ethischen Hacks - Dummies

Die Wahl des Herausgebers

Wie Dynamische Close-Ups mit Ihrer Nikon D3300 Capture - Attrappen

Wie Dynamische Close-Ups mit Ihrer Nikon D3300 Capture - Attrappen

Der Nikon D3300 Angeboten Sie viele Möglichkeiten, dynamische Nahaufnahmen zu erhalten, auch ohne spezielle Objektive. Wenn Sie sich für ein Makroobjektiv oder ein Diopterset entscheiden, können Sie noch bessere Ergebnisse erzielen. Für großartige Nahaufnahmen probieren Sie diese Techniken aus: Überprüfen Sie Ihr Objektivhandbuch, um seine minimale Nahfokus-Entfernung herauszufinden. Wie "up ...

Wie man Weißabgleich auf Ihre Nikon D5300 - Dummies

Wie man Weißabgleich auf Ihre Nikon D5300 - Dummies

Automatische Belichtungsreihen auf Ihren Nikon D5300 Aufzeichnungen das gleiche Bild bei verschiedenen Belichtungseinstellungen oder Active D-Lighting-Einstellungen. Sie können auch den Weißabgleich halten, indem Sie eine Serie von drei Bildern erstellen, die mit unterschiedlichen Weißabgleicheinstellungen aufgenommen wurden. Beachten Sie die folgenden Details zu dieser Funktion: Die Belichtungsreihe ist nur in den Optionen P, S, A und M verfügbar.

ÄNdern der Weißabgleich-Einstellungen einer Nikon D5100 - Dummies

ÄNdern der Weißabgleich-Einstellungen einer Nikon D5100 - Dummies

Nikon D5100) kompensiert verschiedene Lichtfarben durch Weißabgleich. Einfach gesagt, neutralisiert Weißabgleich das Licht, so dass Weiß immer weiß ist, was wiederum sicherstellt, dass andere Farben genau wiedergegeben werden. Wenn die Kamera warmes Licht wahrnimmt, verschiebt sich die Farbe leicht auf die kühle Seite der Farbe ...

Die Wahl des Herausgebers

Wie man die Kosten einer Private Cloud im Cloud Computing einschätzen kann - Dummies

Wie man die Kosten einer Private Cloud im Cloud Computing einschätzen kann - Dummies

Was sind Ihr privates Cloud-Computing-Rechenzentrum und Ihre IT-Abläufe kosten Sie tatsächlich? Es ist keine einfache Frage zu beantworten. Die meisten Unternehmen teilen den Kostenbereich der IT in zwei Bereiche auf: Die Investitionen werden für den Kauf von Geräten (Server, Netzwerke, Speichersysteme) aufgewendet. Betriebsausgaben sind die normalen Betriebskosten eines Geschäftstages ...

Vergleich traditioneller Datacenter- und Cloud Data Center-Betriebskosten - Dummies

Vergleich traditioneller Datacenter- und Cloud Data Center-Betriebskosten - Dummies

Attraktiv, da die Kosten weitaus geringer ausfallen als bei der Bereitstellung des gleichen Services von Ihrem herkömmlichen Rechenzentrum, sodass Sie besser verstehen, warum die Kosten für Cloud-Rechenzentren niedriger sind. Dieser wirtschaftliche Faktor gilt für Wolken, ob privat oder öffentlich. Wie viel kostet ein Rechenzentrum?

Erforschung hybrider Cloud-Bereitstellungsmodelle - Dummies

Erforschung hybrider Cloud-Bereitstellungsmodelle - Dummies

Vier Bereitstellungsmodelle werden zum Erstellen einer hybriden Cloud-Umgebung verwendet. Einige dieser Modelle werden als Stand-Alone-Funktionen verwendet, während andere miteinander verflochten sein werden, um ein Geschäftsziel zu erreichen: Das Infrastructure as a Service-Bereitstellungsmodell: Infrastructure as a Service (IaaS) ist die virtuelle Bereitstellung von Computerressourcen in Form von Hardware, ...

Die Wahl des Herausgebers

Laufzeiten für Marathontraining interpretieren - Dummies

Laufzeiten für Marathontraining interpretieren - Dummies

Wenn Sie für einen Marathon trainieren, dauert die Zeit insgesamt neue Dimension - und Wortschatz. Von Meilensplits (die Zeit, die Sie für jede Meile eines Marathons laufen) bis zu Endzeiten (Ihre Gesamtzeit für ein Rennen) bis zu der Geschwindigkeit, die auf Ihrem Laufband angezeigt wird, werden Marathonläufer mit allen Arten von Zahlen konfrontiert. Lesen Sie weiter ...

Rugby Union für Dummies Spickzettel (Australien / Neuseeland Edition) - Dummies

Rugby Union für Dummies Spickzettel (Australien / Neuseeland Edition) - Dummies

Australien und Neuseeland sind verrückt nach Rugby, und der Hype um die Rugby-Weltmeisterschaft - und jede Hinzufügung eines anderen Super Rugby-Teams - fördert den Einfluss des Spiels. Aber Rugby beobachten kann ein wenig verwirrend sein, wenn Sie die Regeln nicht kennen, oder wer die Hauptteams sind. Hier sind einige ...

Rugby Union für Dummies Spickzettel (UK Edition) - Dummies

Rugby Union für Dummies Spickzettel (UK Edition) - Dummies

Wollen ein Rugby-Match sehen und tatsächlich etwas Verständnis für das, was vor sich geht? Möchtest du Leute mit deinem Hintergrundwissen über das Spiel beeindrucken? Drucken Sie diese grundlegenden Informationen aus, und Sie haben immer das Wesentliche zur Hand.