Open Y-R0 opened 1 year ago
つまり、攻撃型セキュリティとは、コンピュータシステムに侵入し、ソフトウェアのバグを悪用し、アプリケーションの抜け穴を見つけて不正にアクセスするプロセスのことです。
ハッカーに勝つためには、この部屋のように、サイバー犯罪者よりも先に脆弱性を見つけ、パッチを勧めるなど、ハッカーのように振舞う必要があります!
一方、防御的なセキュリティもあります。これは、潜在的なデジタル脅威を分析し、保護することによって、組織のネットワークとコンピュータシステムを保護するプロセスです。詳細は、デジタル・フォレンジックの部屋をご覧ください。
上記をお読みください。 →理解したらボタンを押す
よく、他の人はどうやってハッカー(セキュリティコンサルタント)やディフェンダー(サイバー犯罪と戦うセキュリティアナリスト)になるのだろうと不思議がられますが、その答えは簡単です。サイバーセキュリティに興味のある分野を学び、実践的な演習で定期的に練習することです。TryHackMeで毎日少しずつ学習する習慣を身につければ、この業界で初めて仕事をするための知識を身につけることができます。
私たちを信じてください、あなたならできます!TryHackMeを使って初めて警備の仕事に就いた人たちを見てください
①ポールは、建設作業員からセキュリティエンジニアになりました。https://tryhackme.com/resources/blog/construction-worker-to-security-engineer-how-paul-used-tryhackme-to-land-his-first-job-in-security ②カサンドラは、音楽教師からセキュリティのプロフェッショナルになりました。 https://tryhackme.com/resources/blog/the-teacher-becomes-the-student ③ブランドンは、在学中にTryHackMeを使用して、サイバー関連の最初の仕事を得ました。 https://tryhackme.com/resources/blog/brandons-success-story
どのような職業があるのでしょうか?
サイバーキャリアルームでは、サイバーのさまざまなキャリアについてさらに詳しく説明しています。しかし、ここでは、いくつかの攻撃的なセキュリティの役割について簡単に説明します:
・ペネトレーション・テスター - 技術製品をテストし、悪用可能なセキュリティの脆弱性を発見する役割を担います。 ・レッドチーム - 敵対者の役割を担い、組織を攻撃し、敵の視点からフィードバックを提供する。 ・セキュリティエンジニア - サイバー攻撃を防ぐために、セキュリティ管理、ネットワーク、システムの設計、監視、保守を行う。
上記を読んで、次の部屋へ進みます! →ボタンを押して終了
2023/4/23 task1 Hacking your first machine
問題文
翻訳(google,deepl)
サイバーセキュリティのキャリアと攻撃的なセキュリティとは何かに入る前に、ハッキングを始めましょう(そしてそうです、その合法的な、すべての演習は偽のシミュレーションです)
~あなたの最初のハック~ 「マシンの起動」ボタンをクリックします。ブラウザのスプリットビューにロードされると、FakeBankと呼ばれる偽の銀行アプリケーションをハッキングするために使用するマシンにアクセスできるようになります。マシンが表示されない場合は、このページの右上にある青い [分割ビューの表示] ボタンを使用します。
ステップ1)ターミナルを開く
コマンドラインとも呼ばれるターミナルを使用すると、グラフィカルユーザーインターフェイスを使用せずにコンピューターと対話できます。マシンで、ターミナルアイコンを使用してターミナルを開きます。
ステップ 2) 非表示の Web サイト ページを見つける
ほとんどの企業では、管理者用のポータルページがあり、従業員が日常業務に必要な基本的な管理操作にアクセスできるようになっています。銀行であれば、従業員が顧客口座との間で送金を行う必要がある場合もあります。このようなページは非公開にされていることが多く、攻撃者は管理画面や機密データを表示したり、アクセスできるようにする隠しページを見つけることができます。 (googleなぜか真逆のこと言ってたのでdeeplにした)
ターミナルに次のコマンドを入力して、GoBuster (コマンドライン セキュリティ アプリケーション) を使用して FakeBank の Web サイトで非表示になっている可能性のあるページを見つけます。 (ツールを利用。自分でやるときはインストールしなきゃいけないみたい)
上記のコマンドでは、-uはスキャンするウェブサイトを示すために使用され、-wは隠されたページを見つけるために反復する単語のリストを取ります。
GoBusterがリストの各単語でウェブサイトをスキャンし、サイト上に存在するページを見つけるのがわかると思います。GoBusterは見つけたページをページ/ディレクトリ名のリスで教えてくれているはずです(Status: 200で表示)。
ステップ3)銀行をハッキングする
銀行の口座間の送金を可能にする秘密の銀行送金ページ(/bank-transfer)を見つけたはずです。マシン上のFakeBankのサイトに、この隠しページを入力します。
このページによって、攻撃者はあらゆる銀行口座からお金を盗むことができ、これは銀行にとって重大なリスクとなります。倫理的なハッカーとして、あなたは(許可を得て)そのアプリケーションの脆弱性を見つけ、ハッカーに悪用される前に修正するよう銀行に報告するはずです。
銀行口座2276から2000ドルを、あなたの口座(口座番号8881)に送金してください。
行ったこと
1.右にあるターミナルマークをクリックし、ターミナルを表示 2.gobuster -u http:/fakebank.com/ -w wordlist.txt dirと入力 dirは隠しディレクトリとファイルを検索する ※ワードリストとは???? Gobuster には単語リストが必要です。 gobuster の必須フラグの 1 つは -w です。 単語リストはさまざまな場所から入手できます。 個々のセットアップに応じて、単語リストがプリインストールされているか、Dirb または Dirbuster の単語リストを含む他のパッケージ内にある場合があります。 究極の情報源であり「Pentesters の友人」は SecLists です - https://github.com/danielmiessler/SecLists は、1 つの場所に保持されている多数のリストをまとめたものです。
参考:https://www.kali.org/tools/gobuster/ https://hackertarget.com/gobuster-tutorial/ コマンドはこっちのがわかるかも (ワードリストの意味がわからん)
3.結果
==================================================== Gobuster v2.0.1 OJ Reeves (@TheColonial)
=====================================================
[+] Mode : dir
[+] Url/Domain : http:/fakebank.com/
[+] Threads : 10
[+] Wordlist : wordlist.txt
[+] Status codes : 200,204,301,302,307,403
[+] Timeout : 10s
=====================================================
2023/04/23 02:31:03 Starting gobuster
=====================================================
/images (Status: 301)
/bank-transfer (Status: 200)
=====================================================
2023/04/23 02:31:13 Finished
=====================================================
4.隠しページは/bank-transferだと分かったため、urlに/bank-transferを付け足す (http:~~~.com/bank-transferみたいに)
5.出てきたページに指定された数字を打ち込み、自分の口座に送金させる
問題文
自分の口座にお金を振り込んだら、銀行口座のページに戻ってください。あなたの銀行残高のページに表示されている答えは何でしょうか? →BANK-HACKED
あなたがペネトレーション テスターまたはセキュリティ コンサルタントである場合、これは、企業が Web アプリケーションの脆弱性をテストするために実行する演習です。 隠しページを見つけて脆弱性を調査します。 →理解したらボタンを押す
ページ上部の赤い「Terminate」ボタンをクリックして、本機を終了させます。 →理解したらボタンを押す