Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

SWI2 > Ethnical hacking > Flashcards

Ethnical hacking Flashcards

1
Q

Jaký je proces etickeha hackování

A

Plánování – stručně sepsání
toho čeho chceme dosáhnout.

Průzkum – shromažděni volně dostupných informací – ping, hledani na netu.

Zjištění zranitelností sítě – scanování portů – nmap

Analýza zranitelnosti – zjištění, které zranitelnosti v systému mohou být(incident, updates, naposledy log4j)

Využití zranitelností – naplánování útoku, provedení

Finální analýza – kategorizace zranitelelností, ohodnocení rizik pro zákazníka.

Výstup pro zákazníka – prezentování výsledku(list zranitelností, možné dopady)

Integrace – aktualnizovaná bezpečnostní plitika, obrana pro budoucí útoky.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Desatero etickeha hackingu

A

Stanovit cíle
plánovou svou práci
získat povolení
pracovat eticky
vest záznamy
respektovat soukromí ostatních
nezpůsobit újmu
používat exaktní metody
používat povolené nástroje
nahlásit všechny zranitelnosti.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Co je to Kali Linux

A

Distro pro eticky hacking s předinstalovanými nástroji.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Co je to Footprinting a jak se dělí

A

Aktivní - Získávání znalostí o tom koho chceme napadnout za pomocí napadeného.
Pasivní - Hledáme na internetu(OSINT, Hledat stranky nachylne na SQL injection)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Co je Zqone Transfer utok + nástroj

A

Je to utok kde se snažíme získat informace o infrastruktuře oběti jako jsou nazvy hostitelů, IP adresy a další DN záznamy, dnsenum

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Co je to Metasploitable

A

Je to nástroj(VM) pro penetrační testování kde si toto mužem vyzkoušet. UBUNTU/WINDOWS Server

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Co je to NMAP

A

Nástroj pro skenování sítě a bezpečnostní audity
-O je detekce OS
-v je ukecaný mód
-p-65535 specifikace portů
Jinak jdou používat i nmap scripty

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Jaké jsou utoky na webové aplikace

A

SQL Injection, Server-Side Request Forgery, Logging and monitoring failures(LOG4J)
Sniffing
DOS - JMeter
Social Engineering
Malware

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Jaký je rozdil mezi CSRF A SSRF

A

CSRF: Útočník vytvoří odkaz, který po kliknutí automaticky odešle požadavek na změnu hesla v internetovém bankovnictví. Pokud je uživatel přihlášen do bankovnictví a klikne na odkaz, jeho heslo se změní bez jeho vědomí.

SSRF: Útočník vloží do URL adresy v obrázku odkaz na interní server, který obsahuje citlivá data. Server se pokusí načíst obrázek z této adresy a nevědomky odešle útočníkovi citlivá data.
CSRF a SSRF jsou zkratky pro dva typy zranitelností webových aplikací, které mohou útočníci zneužít k neoprávněnému přístupu k datům nebo k provedení škodlivých akcí.

CSRF (Cross-Site Request Forgery)

Co to je? CSRF je útok, který zneužívá důvěru webové aplikace v přihlášeného uživatele. Útočník donutí uživatele, aby nevědomky odeslal požadavek na webovou aplikaci, čímž provede akci, kterou si nepřeje.
Jak to funguje? Útočník například vloží škodlivý odkaz nebo skript na jinou webovou stránku. Když uživatel, který je přihlášen k cílové webové aplikaci, navštíví tuto stránku, jeho prohlížeč automaticky odešle požadavek na cílovou aplikaci. Aplikace tento požadavek zpracuje, protože pochází od přihlášeného uživatele, a provede akci, kterou útočník definoval.
Příklad: Útočník vytvoří odkaz, který po kliknutí automaticky odešle požadavek na změnu hesla v internetovém bankovnictví. Pokud je uživatel přihlášen do bankovnictví a klikne na odkaz, jeho heslo se změní bez jeho vědomí.

SSRF (Server-Side Request Forgery)

Co to je? SSRF je útok, který zneužívá server k odesílání požadavků na jiné zdroje, ať už v rámci interní sítě nebo na externí servery.
Jak to funguje? Útočník vloží do požadavku na server speciálně vytvořený URL adresu, která server donutí odeslat požadavek na jiný zdroj. Server pak útočníkovi vrátí odpověď z tohoto zdroje.
Příklad: Útočník vloží do URL adresy v obrázku odkaz na interní server, který obsahuje citlivá data. Server se pokusí načíst obrázek z této adresy a nevědomky odešle útočníkovi citlivá data.

Rozdíly:
Vlastnost CSRF SSRF
Cíl útoku Uživatelský prohlížeč Server
Zneužívaná důvěra Důvěra aplikace v uživatele Důvěra serveru v sebe sama
Typ útoku Klient-server Server-server
Důsledek Provedení akcí jménem uživatele Získání přístupu k citlivým datům/zdrojům

Ochrana:
CSRF: Používání anti-CSRF tokenů, SameSite cookies, ověřování hlavičky Referer.

SSRF: Validace vstupů, filtrování URL adres, omezení přístupu serveru k interním zdrojům.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

SWI2 (3 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions