Сайты для общего использования текста типа «Pastebin» (Pastebin, Pastie и т.п.) являются популярными хранилищами скомпрометированных данных. Наблюдение за ними может помочь обнаружить утечку данных компании. Кроме того, такие сервисы могут помочь пентестеру на этапе сбора информации о цели.
Сайты, на которые я ссылаюсь: Pastebin, Pastie, FrubarPaste, YourPaste, Codepad, Slexy и LodgeIt. Здесь можно найти информацию, оставленную не только злоумышленником, но и неосторожным сотрудником.
Пентестер, работающий через интернет, часто начинает со сбора общедоступной информации, которая может пролить свет на детали целевой системы. Стадия сбора информации является плацдармом для развития последующей атаки. Здесь можно получить такие данные, относящиеся к жертве, как:
Для того, чтобы понять, какие данные там можно найти, посмотрим на запись Силэса Катлера (Silas Cutler) Опасность сайтов типа «Patebin» (The Dangers of Pastebin Sites). Автор несколько месяцев исследовал эти сайты для сбора опубликованных данных. Полученная информация включала в себя номера кредитных карт, номера социального страхования, взломанные пароли сетей Wi-Fi, дампы логинов и паролей, логии чатов и т.п.
Силэс опубликовал скрипт для анализа Pastebin, который для многих может оказаться полезным.
Сбор и хранение информации могут показаться привлекательными компаниям, которые проводят много пентестов, но будут слишком затратными для большинства пентестеров. Если хранение и последующий поиск по локальным архивам кажутся непрактичными, то можно воспользоваться инструментами поисковых систем (например, составив запрос в гугле типа «password example.org site:pastebin.com»).
Альтернативой гуглу является специализированный поисковый инструмент, разработанный Andrew Mohawk, который он назвал Pastebin Parser. Он позволяет обрабатывать запросы, натравливая их на различные сайты типа Pastebin с использованием различных техник. Автор также реализовал утилиту, доступную для скачивания. Ее можно установить локально и настроить под свои нужды.
Этот же автор разработал веб-инструмент, названный PasteLert, который может информировать вас о появлении информации, подходящей под заданные условия, на сайтах типа Pastebin.
Идея использования данных на таких сайтах для сбора информации при подготовке к пентесту обсуждалась Corelan Team. Они представили утилиту Pastenum, которую можно установить локально.
Как видно, есть несколько способов анализа сайтов для общего использования текстов, которые можно использовать на этапе сбора информации о цели. Вы можете добавить упомянутые сайты и утилиты в свой джентльменский набор, а также оставить комментарий в случае разработки собственной утилиты для этих целей (на странице источника – Прим. перев.)
Сайты, на которые я ссылаюсь: Pastebin, Pastie, FrubarPaste, YourPaste, Codepad, Slexy и LodgeIt. Здесь можно найти информацию, оставленную не только злоумышленником, но и неосторожным сотрудником.
Пентестер, работающий через интернет, часто начинает со сбора общедоступной информации, которая может пролить свет на детали целевой системы. Стадия сбора информации является плацдармом для развития последующей атаки. Здесь можно получить такие данные, относящиеся к жертве, как:
- номера кредитных карт или персональную информацию;
- фрагменты исходных кодов, которые могут пролить свет на принципы функционирования сайта;
- детали конфигурации сетевых устройств;
- имена, фамилии сотрудников, контакты и должности.
Для того, чтобы понять, какие данные там можно найти, посмотрим на запись Силэса Катлера (Silas Cutler) Опасность сайтов типа «Patebin» (The Dangers of Pastebin Sites). Автор несколько месяцев исследовал эти сайты для сбора опубликованных данных. Полученная информация включала в себя номера кредитных карт, номера социального страхования, взломанные пароли сетей Wi-Fi, дампы логинов и паролей, логии чатов и т.п.
Силэс опубликовал скрипт для анализа Pastebin, который для многих может оказаться полезным.
Сбор и хранение информации могут показаться привлекательными компаниям, которые проводят много пентестов, но будут слишком затратными для большинства пентестеров. Если хранение и последующий поиск по локальным архивам кажутся непрактичными, то можно воспользоваться инструментами поисковых систем (например, составив запрос в гугле типа «password example.org site:pastebin.com»).
Альтернативой гуглу является специализированный поисковый инструмент, разработанный Andrew Mohawk, который он назвал Pastebin Parser. Он позволяет обрабатывать запросы, натравливая их на различные сайты типа Pastebin с использованием различных техник. Автор также реализовал утилиту, доступную для скачивания. Ее можно установить локально и настроить под свои нужды.
Этот же автор разработал веб-инструмент, названный PasteLert, который может информировать вас о появлении информации, подходящей под заданные условия, на сайтах типа Pastebin.
Идея использования данных на таких сайтах для сбора информации при подготовке к пентесту обсуждалась Corelan Team. Они представили утилиту Pastenum, которую можно установить локально.
Как видно, есть несколько способов анализа сайтов для общего использования текстов, которые можно использовать на этапе сбора информации о цели. Вы можете добавить упомянутые сайты и утилиты в свой джентльменский набор, а также оставить комментарий в случае разработки собственной утилиты для этих целей (на странице источника – Прим. перев.)
