質問  |
答え |
|
学び始める
|
|
działanie mające na celu uzyskanie nieautoryzowanego dostępu do systemu, sieci, lub aplikacji w celu kradzieży danych zakłócenia działania lub wyrządzenia szkody. sparaliżować działanie firmy. mogą działać samotnie lub w grupach
|
|
|
|
学び始める
|
|
atak polegający na podszywaniu się pod zaufaną osobę lub instytucje np banki w celu wyłudzenia danych, może przyjść jako email z linkiem do fałszywej strony logowania.
|
|
|
|
学び始める
|
|
Arpanet, coś co było przed dzisiejszym Internetem
|
|
|
|
学び始める
|
|
Ataki mające na celu przeciążenie serwera lub usługi tak, by stała się niedostępna. W DoS ruch pochodzi z jednego źródła, w DDoS z wielu zainfekowanych uprzedzeń (botnetu).
|
|
|
|
学び始める
|
|
Malware to złośliwe oprogramowanie lub kod stworzone do kradzieży danych, szantażu lub niszczenia systemów, uzyskania nieautoryzowanego dostępu. Należą do niego wirusy, robaki, ransomware (np. wanna cry), Trojany, spyware itp
|
|
|
|
学び始める
|
|
Man in the middle, Haker przechwytuje komunikację między dwiema stronami, np przez fałszywe Wi-Fi w kawiarni, aby kraść loginy, hasła czy dane kart płatniczych. Np Haker daje fałszywe Wi-Fi w kawiarni i wprowadza w błąd ofiarę klienta, podsłuchuje go
|
|
|
|
学び始める
|
|
atak polegający na przejściu przeglądarki np przez malware. Haker działa w tle, modyfikuje treść stron lub formularzy, np zmienia dane przelewu bankowego. Działa w przeglądarce, a nie w sieci jak MitM jest trudny do wykrycia
|
|
|
|
学び始める
|
|
Atak polegający na wprowadzeniu złośliwego zapytania SQL w aplikacjach webowych, które mogą manipulować bazą danych, umożliwiając dostęp do wrażliwych informacji lub obejście zabezpieczeń np logowanie bez poprawnych danych
|
|
|
|
学び始める
|
|
atak pochodzący z wewnątrz organizacji, gdzie pracownicy wykorzystują swoje uprawnienia do szkodzenia firmie, np sprzedając dane konkurencji lub sabotując działalność organizacji. przykład: Pracownik sprzedający dane klientów konkurencji
|
|
|
|
学び始める
|
|
Ataki wykorzystujące mechanizmy, które wynikają z ludzkiej natury w celu manipulacji ofiarą by ujawniła dane, które są wrażliwe, np login i hasło bądź wykonania pewnych akcji, przykładowo metoda na wnuczka
|
|
|
|
学び始める
|
|
ataki polegające na złamaniu hasła lub jego kradzieży. 3 rodzaje: BRUTE FORCE próba wszystkich możliwych kombinacji hasła. DICTIONARY ATTACK wykorzystanie listy popularnych haseł. CREDENTIAL STUFFING próba logowania na różnych str z the same danymi
|
|
|
Advanced Persistent Threats (APT) 学び始める
|
|
APT to zaawansowany atak, który trwa długo, gdzie atakujący pozostaje niewykryty, często celując w korporacje, rządy lub wysokie osoby. Atak składa się z wielu etapów i jest trudny do wykrycia. np atak na korporację, trwa wiele miesięcy
|
|
|
|
学び始める
|
|
Atak wykorzystujący nieznaną lukę w oprogramowaniu, dla której nie ma jeszcze łatki. Hakerzy mogą wykorzystywać tę podatność bez ryzyka wykrycia, aż do momentu jej odkrycia i naprawienia. Przykład wykorzystanie luki w systemie oper. nim prod. wyda łatkę
|
|
|
Cross-site Scripting (XSS) 学び始める
|
|
Atak, w którym haker wstrzykuje złośliwy kod do aplikacji webowej, a przeglądarka użytkowników wykonuje go. Może to prowadzić do kradzieży danych lub przejęcia sesji. Np Wstrzyknięcie skryptu w formularz, który kradnie dane do logowania
|
|
|
|
学び始める
|
|
Sprawdzenie czy dane wprowadzane do systemu są poprawne i bezpieczne. Zapobiega błędom i atakom np SQL Injection. Np formularz rejestracji sprawdza czy mail ma poprawny format i nie zawiera złośliwego kodu
|
|
|
Rodzaje testów penetracyjnych 学び始める
|
|
Black box, Gray box i White box
|
|
|
Black box test penetracyjny 学び始める
|
|
Black, tester nie ma żadnych informacji o systemie. Symulacja realnego ataku hakerskiego. Np próba włamania się do serwera organizacji bez żadnej wcześniej wiedzy
|
|
|
Grey box test penetracyjny 学び始める
|
|
Grey Box, Tester ma częściową wiedzę np konto użytkownika. Celem może być np eskalacja uprawnień do administratora. Np Tester loguję się jako zwykły użytkownik i próbuje uzyskać dostęp do ukrytych danych.
|
|
|
White box test penetracyjny 学び始める
|
|
White box, Tester ma pełne informacje o systemie np kod źródłowy. Analiza wszystkich możliwych podatności od wewnątrz. Np sprawdzanie aplikacji webowej pod kątem luk w kodzie.
|
|
|
|
学び始める
|
|
to ransomware, który sparaliżował świat. w 2017 r robak wanna cry zaszyfrowal pliki firm i organizacji w 150 krajach. Cyberprzestępcy żądali okupu za odblokowanie. Nawet UK służba Zdrowia padła ofiarą, wyłudzono 79 mln tyś dolarów
|
|
|
