Взламываем банк, или Один день из жизни пентестера

Опубликовано: 21.08.2017

Профессиональные «взломщики» банков тестируют возможные действия злоумышленников

Фото: Fotolia/Sergey

О том, что банки периодически взламывают злоумышленники, известно давно. Но как именно это происходит? Чтобы узнать это, мы обратились к специалисту по информационной безопасности, в чьи задачи входит, в частности, взлом банковских систем для выявления уязвимостей. Итак, попробуем взломать банк вместе...

Взлом для борьбы со взломщиками

Тестирование на проникновение (пентестинг) — это, по сути, моделирование действий злоумышленника с целью получения несанкционированного доступа к объекту тестирования.

Сегодня мы займемся проектом по пентестингу для банка evilBank, проведя основные манипуляции «в прямом эфире». Если вы не так много знали о том, как происходит тестирование на проникновение, мы расскажем, чем занимаются банковские пентестеры на практике, описав один условный рабочий день «этичного» хакера. Все схемы и находки взяты из реальных проектов по тестированию на проникновение.

10 отличий хакеров между программистами

Начало

Итак, приступим. Для начала попытаемся понять, что мы знаем о ресурсах компании. Пока ничего. Система для нас представляет своего рода черный ящик. Пришло время это исправить. Первым делом идем в банк, открываем счет и подключаем ДБО. Готово!

ХАКЕР-МИЛЛИАРДЕР

Теперь осмотримся вокруг на предмет доступных для изучения и анализа ресурсов банка. Здесь сразу интересна сама система ДБО. Далее, для поиска других ресурсов, смотрим, какие еще поддомены прописаны для evilbank.com. Так, после перебора порядка 100 тысяч разных популярных и не очень имен находим интересный поддомен — admin.evilbank.com. Оказывается, что система ДБО построена на популярной программной платформе, которая, конечно, обладает собственным административным интерфейсом.