在授权的渗透测试中潜入法院被捕,被控告入室盗窃

2023-11-05 00:30

本文主要是介绍在授权的渗透测试中潜入法院被捕,被控告入室盗窃,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!


2019年9月11日,科罗拉多州的Coalfire为了评估保存在爱荷华州达拉斯县法院的电子记录的安全性,派遣了两名员工进行红队渗透测试。

西雅图43岁的Gary DeMercurio和佛罗里达州那不勒斯29 岁的  Justin Wynn都是由Coalfire Labs雇用的专业渗透测试人员,Coalfire Labs是一家位于科罗拉多州威斯敏斯特的安全公司,爱荷华州法院管理局已聘请该公司来测试法院司法大楼的安全性。

两名员工Gary DeMercurio和Justin Wynn配备齐全闯入法院的工具后,在深夜进入司法大楼。 

爱荷华州达拉斯县的法院。

根据合同条款,DeMercurio和Wynn被允许假冒员工和承包商,提供虚假借口以获取对设施的实际使用权,通过后门进入建筑物,并进入这些设施的限制区域。合同说,这些人不能试图破坏警报系统,强制开门或进入存在防护设备的区域。

这合同还挺有趣的,反正该公司的核心人员名单还有法院的人信息都泄露了。

还有渗透测试流程,规范。

渗透测试合同概述了客户要求在下班后进行测试,团队将试图进入法院,但不要绕过警报或进行破坏性的进入。Physical access,合同里写的挺明白的。

当二人于9月11日凌晨在爱荷华州达拉斯县法院对安全进行测试时,结果触发警报,因此按照程序,他们只能在现场等待警察过来。DeMercurio和Wynn表示,当县警长代表在几分钟后到达现场时,他们告诉警官他们是谁以及为什么在那里,并且他们已经通过开锁的门进入该处所。

到达现场后,他们发现,这两人将塑料切菜板滑过门上的裂缝,从而开锁成功。

个人猜测是下面这种

为了缓解他们的担心,DeMercurio和Wynn出具了授权书,详细说明了他们被雇用从事的工作,并列出了可以验证其真实性的爱荷华州雇员的姓名和手机号码。

与信件中列出的一些法院官员联系后,代表们似乎对这些人不是小偷感到满意。然而,直到达拉斯郡治安官乍得·伦纳德(Chad Leonard)出现。

“测试人员已经说过,他们使用一种工具来打开前门,”古丁回忆道。伦纳德说:“这意味着这些人违反了强迫门打开的限制。伦纳德还说,这些人试图关闭警报。此外,合同中有一个联系人没有接电话。

DeMercurio和Wynn被捕后,入狱并关押了将近24小时,然后以100,000美元的保释金获释。最初,他们被指控犯有重罪三级入室盗窃罪并拥有入室盗窃工具,尽管后来这些指控被降级为轻罪。

去渗透测试法院,被法院告了,魔幻。

总而言之,就好比授权白帽子进行网站渗透测试,但却不放心白帽子是否偷窃数据或资料一样,授权红队进行整栋大楼的渗透测试,同样会存在不放心其中是否会有人在大楼里偷东西一样。

毕竟专门撬锁翻墙插U盘的红队,装备和高科技小偷没啥区别。

好在,2020年1月30日星期四,爱荷华州的检察官才宣布已撤销刑事指控。这项指控已经消除,同时也带来了警钟。

在进行物理渗透的时候,要么别被警察抓住,要么被保安抓住后赶紧打电话给相关负责人。

不然进局子后,办手续麻烦的很。

上期阅读

▲99台智能手机骗过谷歌地图,谎报路段交通拥堵

▲网购口罩收不到货反遭拉黑,非正规渠道买货需谨慎

因为威胁信息管理法即将颁布,因此我将知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。

点个赞,转个发,祖国建设靠大家

这篇关于在授权的渗透测试中潜入法院被捕,被控告入室盗窃的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/346201

相关文章

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

字节面试 | 如何测试RocketMQ、RocketMQ?

字节面试:RocketMQ是怎么测试的呢? 答: 首先保证消息的消费正确、设计逆向用例,在验证消息内容为空等情况时的消费正确性; 推送大批量MQ,通过Admin控制台查看MQ消费的情况,是否出现消费假死、TPS是否正常等等问题。(上述都是临场发挥,但是RocketMQ真正的测试点,还真的需要探讨) 01 先了解RocketMQ 作为测试也是要简单了解RocketMQ。简单来说,就是一个分

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

Verybot之OpenCV应用一:安装与图像采集测试

在Verybot上安装OpenCV是很简单的,只需要执行:         sudo apt-get update         sudo apt-get install libopencv-dev         sudo apt-get install python-opencv         下面就对安装好的OpenCV进行一下测试,编写一个通过USB摄像头采

BIRT 报表的自动化测试

来源:http://www.ibm.com/developerworks/cn/opensource/os-cn-ecl-birttest/如何为 BIRT 报表编写自动化测试用例 BIRT 是一项很受欢迎的报表制作工具,但目前对其的测试还是以人工测试为主。本文介绍了如何对 BIRT 报表进行自动化测试,以及在实际项目中的一些测试实践,从而提高了测试的效率和准确性 -------

可测试,可维护,可移植:上位机软件分层设计的重要性

互联网中,软件工程师岗位会分前端工程师,后端工程师。这是由于互联网软件规模庞大,从业人员众多。前后端分别根据各自需求发展不一样的技术栈。那么上位机软件呢?它规模小,通常一个人就能开发一个项目。它还有必要分前后端吗? 有必要。本文从三个方面论述。分别是可测试,可维护,可移植。 可测试 软件黑盒测试更普遍,但很难覆盖所有应用场景。于是有了接口测试、模块化测试以及单元测试。都是通过降低测试对象

【Shiro】Shiro 的学习教程(二)之认证、授权源码分析

目录 1、背景2、相关类图3、解析3.1、加载、解析阶段3.2、认证阶段3.3、授权阶段 1、背景 继上节代码,通过 debug 进行 shiro 源码分析。 2、相关类图 debug 之前,先了解下一些类的结构图: ①:SecurityManager:安全管理器 DefaultSecurityManager: RememberMeManager:实现【记住我】功能

day45-测试平台搭建之前端vue学习-基础4

目录 一、生命周期         1.1.概念         1.2.常用的生命周期钩子         1.3.关于销毁Vue实例         1.4.原理​编辑         1.5.代码 二、非单文件组件         2.1.组件         2.2.使用组件的三大步骤         2.3.注意点         2.4.关于VueComponen

如何成为一个优秀的测试工程师

链接地址:http://blog.csdn.net/KerryZhu/article/details/5250504 我一直在想,如何将自己的测试团队打造成世界一流的团队?流程、测试自动化、创新、扁平式管理、国际标准制定、测试社区贡献、…… 但首先一点是明确的,就是要将每一个测试工程师打造成优秀的测试工程师,优秀的团队必须由优秀的成员构成。所以,先讨论“如何成为一个优秀的测试工程师”,