Search

Filter Stream

Select the types of content you would like to see.

  • Close

    Press esc to close.
    Close
    Press esc to close.
    Close

    Connecting to your webcam.

    You may be prompted by your browser for permission.

    Взламываем банк, или Один день из жизни пентестера

    Опубликовано: 18.10.2017

    Профессиональные «взломщики» банков тестируют возможные действия злоумышленников

    Фото: Fotolia/Sergey

    О том, что банки периодически взламывают злоумышленники, известно давно. Но как именно это происходит? Чтобы узнать это, мы обратились к специалисту по информационной безопасности, в чьи задачи входит, в частности, взлом банковских систем для выявления уязвимостей. Итак, попробуем взломать банк вместе...

    Взлом для борьбы со взломщиками

    Тестирование на проникновение (пентестинг) — это, по сути, моделирование действий злоумышленника с целью получения несанкционированного доступа к объекту тестирования.

    Сегодня мы займемся проектом по пентестингу для банка evilBank, проведя основные манипуляции «в прямом эфире». Если вы не так много знали о том, как происходит тестирование на проникновение, мы расскажем, чем занимаются банковские пентестеры на практике, описав один условный рабочий день «этичного» хакера. Все схемы и находки взяты из реальных проектов по тестированию на проникновение.

    Начало

    Итак, приступим. Для начала попытаемся понять, что мы знаем о ресурсах компании. Пока ничего. Система для нас представляет своего рода черный ящик. Пришло время это исправить. Первым делом идем в банк, открываем счет и подключаем ДБО. Готово!

    Теперь осмотримся вокруг на предмет доступных для изучения и анализа ресурсов банка. Здесь сразу интересна сама система ДБО. Далее, для поиска других ресурсов, смотрим, какие еще поддомены прописаны для evilbank.com. Так, после перебора порядка 100 тысяч разных популярных и не очень имен находим интересный поддомен — admin.evilbank.com. Оказывается, что система ДБО построена на популярной программной платформе, которая, конечно, обладает собственным административным интерфейсом.

    rss