Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

# Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры Выполнил студент группы БСБО-07-20, Чистенков Никита. Предмет: Тестирование на проникновение. # Задания к практической работе №1 1. Построить примерную модель корпоративной инфраструктуры в одном из инструментов. Если нет примеров - можно построить домашнюю 2. Обозначить, на ваш взгляд, наиболее опасные (или уязвимые места в корпоративной инфраструктуре) 3. Придумать 3-5 сценариев атаки на корпоративную инфраструктуру с указанием целей атак # Выполнение. # Задание 1. Примерная модель корпоративной инфраструктуры ![](https://i.imgur.com/HcnAPjN.jpg) Рисунок 1. -Примерная модель корпоративной инфраструктуры В ходе выполнения задания 1, в приложении draw.io была создана диаграмма корпоративной инфраструктуры, которая представлена на рисунке 1. На данной диаграмме Изображены 3 LAN сети, которые имеют выход в интернет через роутер и защиту Firewall. # Задание 2. Наиболее опасные или уязвимые места в корпоративной инфраструктуре Одним из наиболее уязвимых мест в корпоративной инфраструктуре является обычный сотрудник, администратор, менеджер и т.д. Иначе говоря сотрудник. Уязвимые места внутри инфраструктуры касаются не только сотрудников, но также и установленного программного обеспечения на компьютерах, находящихся внутри инфраструктуры. Таким образом, наиболее уязвимыми местами в корпоративной инфраструктуре являются: сотрудники организации, ПО находящиеся на компьютерах в инфраструктуре, а также уязвимости ОС, которые используются в инфраструктуре организаций, и уязвимости протоколов. # Задание 3. Примеры сценариев атаки **Первый сценарий:** Пример: В ходе изучения сайта компании, могут быть найдены поля ввода данных, которые не защищены от **SQL-Injection**. Цели: При помощи **SQL-Injection** можно вывести список логинов и паролей пользователей сайта,Личную информацию и тп. Либо просто дропнуть БД. **Второй сценарий:** Пример: В ходе разговора злоумышленника, который предствавился админом сети, с сотрудником организации был получен логин и пароль от учётной записи сотруника. Цели: Получение доступа к аккаунту сотрудника при помощи **социальной инженерии**, для дальнейших манипуляций в системе. **Третий сценарий:** Пример:**Внутренний нарушитель подбросил Raspberry Pi** в корпоративную сеть и перехватывает пакеты. Цели: Получение **активов** с помощью перехвата пакетов.