Иллюстрированный самоучитель по Secure Web
         

После получения результатов сканирования телефонных



Доморощенный способ: примитивное написание сценариев

После получения результатов сканирования телефонных номеров нужно систематизировать их в так называемые домены (domain). Как уже отмечалось, неоценимую помощь в этом окажет опыт работы с различными типами серверов удаленных соединений и операционных систем. Выбор системы для последующего проникновения зависит от множества факторов, в том числе от того, сколько времени хакер готов посвятить своим экспериментам, какая полоса пропускания имеется в его распоряжении, а также от его интуиции и профессионализма в написании сценариев.

Первым важным шагом на пути систематизации результатов в целях тестирования является установка соединений с обнаруженными модемами. При этом нужно постараться определить характеристики соединения, чтобы затем суметь сгруппировать соединения в домены для тестирования. Модемное соединение можно определить по нескольким существенным признакам, которые и надо постараться выявить. Приведем общий перечень таких признаков.

  •  Наличие интервала ожидания или порогового числа попыток.


  •  После превышения порогового значения соединение больше не используется.


  •  Соединение доступно только в определенные часы.


  •  Допустимость корректных предположений об уровне аутентификации: т.е. наличие или отсутствие пароля.


  •  Уникальность метода идентификации, в частности по принципу запрос/отклик (например, с использованием идентификаторов защиты (Security ID).


  •  Возможность определения максимального числа символов в отклике или пароле.


  •  Правомочность предположений о наличии специальных или алфавитно-цифровых символов в поле пароля или идентификаторе пользователя.


  •  Возможность получения дополнительной информации при вводе различных стандартных комбинаций клавиш, таких как <Ctrl+C>, <CtrI+Z>, <?> и т.п.


  •  Наличие идентификационных маркеров или их изменение с момента первых попыток проникновения, а также содержащаяся в них информация. Это может оказаться полезным при угадывании недостающей информации или при решении вопросов социальной инженерии.



    • Содержание  Назад  Вперед