hash 值可用以檢查檔案的完整性，來確認所獲取的檔案是否為完整。

在佈屬一些資安軟體時，常會被公司自己的防毒擋住，此時將檔案的hash值直接放入防毒白名單會是個好方法。

說明

Exploit db 針對一些 cve 有提供 poc 的語法，讓攻擊者可以用來測試目標是否有存有弱點。有commend line的功能。

網站連結

• https://www.exploit-db.com

木桶理論在資訊安全上的應用，如同木桶的容量是取決於最低的一支木條，資安的安全等級取決於最弱的系統。 可以想像木桶做的再大，但如果有一邊或是有一個木條特別低，那麼再多的水也無法裝，只能到最低的木條的容量。 因此從企業資訊安全的角度來看，不能只針對特定系統來加強，而是應全面性的評估。

說明

在現在的網路環境中，越來越多網站提供上傳檔案的功能，不論是上傳照片、履歷、作品集…等，如當發果沒有良好的設計，很容易就會產生檔案上傳漏洞。

目標資訊

http://whois.domaintools.com https://www.netcraft.com https://talosintelligence.com

DNS查詢

https://www.robtex.com

Subdomain

Knock Subdomain Scan https://github.com/guelfoweb/knock 使用下面指令安裝 # git clone https://github.com/guelfoweb/knock.git

其他軟體或指令

dirb (資料夾內容查詢) nslookup maltego(installed in kali) wappalyzer 瀏覽器插件

該注意的資料

以下為information gathering該注意的資訊 版本、目標server上其他的系統 login.xxx phpinfo robots.txt(會存該網站不想給google看的資料) config.ini tset

RBL是Realtime Blackhole List的簡稱 http://www.anti-abuse.org/multi-rbl-check/ 輸入後看下方各組織是否有列為垃圾信，都是綠色就ok