بعد از شکار برای اشکالات امنیتی متوجه شدم مشتریانی که با آنها کار می کنم به اندازه کافی (یا اصلاً) با تکنیک های اساسی “هک” آشنا نیستند. کلیدهای API ، گذرواژه ها ، کلیدهای رمزگذاری شده SSH و گواهینامه ها همه تا مکانیزم عالی برای محافظت هستند آنها مخفی نگه داشته می شوند. هنگامی که آنها در طبیعت خارج می شوند ، مهم نیست که رمز عبور پیچیده است یا از الگوریتم هش برای رمزگذاری آن در جای دیگری استفاده شده است. در این پست ، من قصد دارم مفاهیم ، روش ها و ابزارهایی را که محققان برای کشف اسرار و بهره برداری از آنها استفاده کرده اند ، به اشتراک بگذارم. همچنین موارد اقدام تخفیف را لیست می کنم که اجرای آنها ساده است.
ذکر این نکته مهم است که “بازی” حمله و دفاع حتی یک بازی نیست. یک مهاجم فقط به یک تلاش موفقیت آمیز برای ورود نیاز دارد ، در حالی که مدافع باید 100٪ از زمان را به موفقیت برساند. قسمت سخت این است که بدانیم کجا باید نگاه کنیم. هنگامی که می توانید “دروازه” های مجازی خود را که از طریق آن هکرها می توانند راه پیدا کنند ، لیست کنید ، می توانید از آنها با مکانیزم های نسبتاً ساده محافظت کنید. من معتقدم سادگی آنها گاهی اهمیت آنها را تحت الشعاع قرار می دهد و باعث می شود بسیاری از تیم ها از آن غافل شوند.
بنابراین در اینجا یک سریع و ساده وجود دارد یکی نیست که از آن غافل شود TL ؛ DR:
- اجرای وزارت امور خارجه هر کجا – Google ، GitHub ، ارائه دهندگان Cloud ، VPN ها هر جا ممکن اگر اختیاری نیست ، در …