[TryHackMe] [Intro to Offensive Security] 网络安全概论.黑掉你的第一个网站

TASK1:什么是进攻性安全?

简而言之,攻击性安全是闯入计算机系统、利用软件错误并查找应用程序中的漏洞以获得未经授权的访问的过程。

要打败黑客,你需要表现得像个黑客,在网络犯罪分子之前发现漏洞并推荐补丁

另一方面,还有防御性安全,即通过分析和保护任何潜在的数字威胁来保护组织的网络和计算机系统的过程;在数字取证室了解更多信息。

在防御性网络角色中,您可能正在调查受感染的计算机或设备,以了解它是如何被黑客入侵的,追踪网络犯罪分子,或监控基础设施中的恶意活动。

============================
以下哪个选项更能代表模拟黑客在系统中查找漏洞的行为的过程?
Offensive Security 攻击性安全
Defensive Security 防御性安全

回答:Offensive Security

TASK2:入侵你的第一台计算机

单击“启动计算机”按钮。一旦加载到浏览器的 Split View 中,您将可以访问一台机器,您将用来破解一个名为 FakeBank 的虚假银行应用程序。如果您没有看到本机出现,请使用此页面右上角的蓝色“显示分屏浏览”按钮。

我们将使用一个名为“GoBuster”的命令行应用程序来暴力破解 FakeBank 的网站以查找隐藏的目录和页面。GoBuster 将获取潜在页面或目录名称的列表,并尝试使用每个页面或目录名称访问网站;如果该页面存在,它会告诉您。

步骤1 打开终端

终端,也称为命令行,允许我们在不使用图形用户界面的情况下与计算机进行交互。在计算机上,使用终端图标打开终端

[TryHackMe] [Intro to Offensive Security] 网络安全概论.黑掉你的第一个网站_第1张图片

步骤2 查找隐藏的网站页面

大多数公司都会有一个管理门户页面,让员工可以访问日常运营的基本管理控制。对于银行来说,员工可能需要在客户账户之间转账。通常,这些页面不会设为私有,因此攻击者可以找到显示或授予管理员控件或敏感数据访问权限的隐藏页面。

在终端中键入以下命令,以使用 GoBuster(命令行安全应用程序)查找 FakeBank 网站上可能隐藏的页面。

gobuster -u http://fakebank.com -w wordlist.txt dir

该命令将运行并显示类似于以下内容的输出:

[TryHackMe] [Intro to Offensive Security] 网络安全概论.黑掉你的第一个网站_第2张图片

您将看到 GoBuster 使用列表中的每个单词扫描网站,查找网站上存在的页面。GoBuster 会告诉你它在页面/目录名称列表中找到的页面(由状态:200 表示)。

[TryHackMe] [Intro to Offensive Security] 网络安全概论.黑掉你的第一个网站_第3张图片

步骤3 入侵银行

您应该已经找到了一个秘密的银行转账页面,允许您在银行的账户之间转账(/bank-transfer)。在机器上的 FakeBank 网站中键入隐藏页面。

[TryHackMe] [Intro to Offensive Security] 网络安全概论.黑掉你的第一个网站_第4张图片

此页面允许攻击者从任何银行账户中窃取资金,这对银行来说是一个重大风险。作为道德黑客,您将(在获得许可的情况下)发现其应用程序中的漏洞,并在黑客利用它们之前将其报告给银行进行修复。

将 2000 美元从银行账户 2276 转入您的账户(帐号 8881)。
在您的帐户余额上方,您现在应该会看到一条消息,指示此问题的答案。

BANK-HACKED

你可能感兴趣的:(TryHackMe,web安全,安全)