Re: [爆卦] ptt這樣算是有資安問題吧

ltytw 發表於 2023/5/18 下午12:31:53

看板Gossiping標題Re: [爆卦] ptt這樣算是有資安問題吧作者

(拉米亞妹妹)時間May 18 12:31:53 2023推噓 1 推:1 噓:0 →:2

※ 引述《HAIWEI (維)》之銘言：
: 這問題說大不大
: 說小不小
: 先講一下駭客的攻擊鍊(下方資訊來自TeamT5)
: 1.偵查 Reconnaissance: 攻擊者收集目標對象的資料，如電子郵件信箱、社群平台的: 資料，以找到可以下手的弱點；或是透過工具，掃描目標對象的網站、系統，得知使用的: 系統種類、版本。
: 2.武裝 Weaponization: 攻擊者使用現成的開源工具或是自行開發專屬的惡意程式。
: 3.遞送 Delivery: 攻擊者將攻擊武器送入目標的系統內，如透過釣魚信件裡的連結、: 夾帶木馬的盜版軟體、隨身碟。
: 4.漏洞利用 Exploitation: 確保遞送的惡意軟體，藉由目標對象的系統漏洞，得以順: 利開啟，並使攻擊者獲得控制權。
: 5.安裝 Installation: 攻擊者確保自身可以長期控制目標的系統內，以有足夠的時間: 進行後續環節。
: 6.發令與控制 Command & Control: 本環節取兩個單字的字首，又可簡稱為 C2。攻擊: 者潛伏在目標的系統內，收集資料，探索環境，以便審慎規劃後續行動。
: 7.行動 Actions: 根據攻擊者的最終目標，採取行動，如破壞系統、竊取機密資料、勒: 索目標對象。
: PTT爆出的資訊就是他使用的作業系統(Ubuntu)
: 跟使用的網頁伺服器(nginx 1.4.6版)
: 在1.偵查中，主要的目的就是要獲得這些資訊，以了解對方的環境以及可能的漏洞
: 接下來才可以針對這些漏洞製作相關攻擊工具，也就是到2.武裝的部分
: 在一般的環境中，是不應該會爆出這些資訊的
: 而至於這些資訊好不好取得，值不值得原PO這麼見獵心喜，這就是另外一回事了
: ※ 引述《jej (賊一賊)》之銘言：
: : 如題啊
: : 太驚訝了
: : 我把截圖留給你各位駭客
: : 你們有空自己來搞一下
: : http://i.imgur.com/lrjrinp.jpg