Information Gatheringga e’tibor qaratamiz. Boshqa bosqichlar haqida esa kurs davomida batafsil o‘rganamiz.

Penetration test engagement doirasidagi scope bu — tekshiriladigan IP ranges, hosts, va applicationsni aniqlash bo‘lib, bu out-of-scope (ya’ni test qilinmasligi kerak bo‘lgan) elementlardan farqlanadi.

Mijoz bilan engagementning scopei va vaqt doirasi kelishilganidan so‘ng, ikkinchi bosqich — information gatheringga o‘tamiz. Bu bosqichda maqsadimiz — target haqida iloji boricha ko‘proq ma’lumot to‘plashdir.

Information gatheringni boshlash uchun biz odatda reconnaissance (razvedka) bajarib, target organizationning infrastructure, assets, va personneli haqida ma’lumotlarni yig‘amiz. Bu ishni passive yoki active usullar bilan bajarish mumkin. Birinchi — ya’ni passive usul — target bilan deyarli hech qanday to‘g‘ridan-to‘g‘ri aloqasiz ma’lumot olishga intiladi, ikkinchisi esa — active usul — infratuzilmaga bevosita murojaat qiladi. Active information gathering katta footprint (ya’ni iz) qoldiradi, shuning uchun ko‘pincha aniqlanib qolmaslik uchun passive usul afzal ko‘riladi.

Shuni unutmaslik kerakki, information gathering (yoki enumeration) dastlabki reconnaissance tugagach ham davom etadi. Penetration test davomida yangi ma’lumotlar topilib borgani sari, targetning attack surfaceini chuqurroq tushunish uchun data collection jarayoni ham davom etadi — ayniqsa footholdga erishilgach yoki lateral movement amalga oshirilgach.

Ushbu Moduleda avval passive reconnaissanceni o‘rganamiz, so‘ngra enumeration maqsadida target bilan qanday qilib faol (ya’ni actively) muloqot qilish mumkinligini ko‘rib chiqamiz.