# Отчёт по практической работе 1 ## Тестирование на проникновение Выполнил: Студент 3 курса **Группы БСБО-07-19** **Булаткин В. Н.** --- ## Задание 1. Создать файл в draw.io и построить модель корпоративной инфраструктуры или построить домашнюю. ![](https://i.imgur.com/5Wsieah.png) Рис. 1 – пример домашней сети. --- В приложении была создана диаграмма домашней инфраструктуры и предоставлена на рисунке 1. На диаграмме изображен роутер, который распределяет интернет-трафик между домашними устройствами, тип соединения между устройствами и роутером, а также его соединение с домашним коммутатором/хабом, объединяющим трафик всех роутеров дома. ## Задание 2. Обозначить наиболее опасные или уязвимые места в корпоративной инфраструктуре. Наиболее явными слабыми местами сети являются подключенный к сети телевизор, программное обеспечение которого уже многие годы не получает обновлений, а значит имеет множество известных дыр в безопасности, и ноутбуки, на которых установлены старые версии ОС Windows и отсутствует пароль доступа. Также немаловажной угрозой для сети являются её же пользователи, способные на самовольное внесение вредоносного ПО в систему или же предоставление доступа к ней внешним силам. --- ## Задание 3. Написать от трех до пяти сценариев атаки на корпоративную инфраструктуру с указанием целей атак. --- **Сценарий 1. Социальная инженерия.** Социальная инженерия - один из основных приемов для направленных атак на любую инфраструктуру. Её принцип заключается в том, чтобы заставить цель выполнить необходимые злоумышленникам действия любыми способами. Заставить пользователя перейти по фишинговой ссылке, установить вирус, замаскированный под ПО и т.д. Основной целью данных атак является несанкционированный доступ к учетным записям жертв, воровство конфиденциальной информации или шантаж с целью получения выгоды. **Сценарий 2. Эксплуатация веб-уязвимостей.** Возможность получения доступа к внутренней инфраструктуре домашних или корпоративных сетей, а также несанкционированного доступа к конфиденциальным данным дают уязвимости веб-приложений, которые функционируют в структуре и представляют из себя общедоступный сайт, например интернет магазин, банк, мессенджер и т.д. Есть множество разнообразных уязвимостей веб-приложений например SQL инъекции, XSS инъекции и пр. Целью данных атак является получение конфиденциальных данных , хранящихся в баз данных организации, а так же выведения из строя веб приложений, через которых производится атака. **Сценарий 3. Эксплуатация уязвимостей ОС.** Каждая ОС содержит в себе неизвестное количество уязвимостей и обязанность каждой фирмы своевременно обновлять ПО до актуальных версий, в которых исправляют большинство опасных уязвимостей. Но не всегда все происходит так как должно и как и сотрудники так и устройства могут работать на неактуальных версиях ПО. А это открывает возможности злоумышленникам доступ к использованию подобных уязвимостей. Все начинается с получения доступа до цели. Способ может быть любой: будь то социальная инженерия или веб-уязвимость. Задача – получение доступа до цели, после которого злоумышленники могут получить информацию о системе и эксплуатировать любые доступные уязвимости. Целью данной атаки является получение доступа над устройством. Будь то мониторинг трафика, получение файлов или вообще удаленный доступ.