လုံခြုံရေးအသိပညာပေးသင်တန်းအတွက် GoPhish မှ အင်္ဂါရပ်အသစ်များနှင့် အပ်ဒိတ်များ
နိဒါန္း
GoPhish သည် သင်၏ phishing လေ့ကျင့်ရေးပရိုဂရမ်တွင် သင်ထည့်သွင်းနိုင်သော အသုံးပြုရလွယ်ကူပြီး တတ်နိုင်သော phishing simulator တစ်ခုဖြစ်သည်။ အခြားသော နာမည်ကြီး phishing simulator များနှင့်မတူဘဲ GoPhish သည် အင်္ဂါရပ်အသစ်များဖြင့် ပုံမှန်မွမ်းမံထားသည်။ ဤဆောင်းပါးတွင်၊ ဗားရှင်း 0.9.0 မှစတင်၍ အထင်ရှားဆုံးသောအင်္ဂါရပ်အချို့ကို ကျော်သွားပါမည်။
နယူးအင်္ဂါရပ်များ
- CSRF Handler GoPhish တွင် ယုံကြည်စိတ်ချရသော မူလရင်းမြစ်များကို ထည့်သွင်းပြီး ယခုအခါ config.json ဖိုင်တွင် trusted_origins များကို ပြုပြင်မွမ်းမံနိုင်ပါပြီ။ ၎င်းသည် အဝင်ချိတ်ဆက်မှုများမှ သင်မျှော်လင့်ထားသည့် လိပ်စာများကို ထည့်နိုင်စေမည်ဖြစ်သည်။ အပလီကေးရှင်းကိုယ်တိုင်အစား TLS ရပ်စဲခြင်းကို ကိုင်တွယ်ဖြေရှင်းသည့်အခါတွင် ၎င်းသည် အထောက်အကူဖြစ်သည်။
- အီးမေးလ်များသို့ ချိတ်ဆက်နိုင်သော ဖိုင်အမျိုးအစားအမျိုးမျိုးတွင် GoPhish variable များကို ပေါင်းထည့်ခြင်းဖြင့် ပူးတွဲပါဖိုင်ခြေရာခံခြင်းကို မိတ်ဆက်ခဲ့သည်။ ဥပမာအားဖြင့်၊ ယခုအခါတွင် “မင်္ဂလာပါ {{.FirstName}}၊ ဤနေရာကို နှိပ်ပါ- {{.URL}}” ကို Word စာရွက်စာတမ်းတစ်ခုတွင် သို့မဟုတ် စာရွက်စာတမ်းများတွင် ခြေရာခံပစ်ဇယ်များကို ထည့်နိုင်သည်။ အသုံးပြုသူများသည် ပူးတွဲဖိုင်များကို ဖွင့်သည့်အခါ သို့မဟုတ် Office စာရွက်စာတမ်းများတွင် မက်ခရိုများကို ဖွင့်သည့်အခါ ၎င်းကို အကြောင်းကြားပါမည်။ GoPhish သည် အောက်ပါဖိုင်အဆက်များကို ပံ့ပိုးသည်- docx၊ docm၊ pptx၊ xlsx၊ xlsm၊ txt၊ html နှင့် ics။
- တမ်းပလိတ်များတွင် စာအိတ်ပေးပို့သူအား သတ်မှတ်ရန် စွမ်းရည်ကို ထည့်သွင်းထားသည်။ ဗလာဖြစ်နေပါက၊ ၎င်းသည် ပေးပို့သူ-ဆက်တင်များရှိ SMTP-From သို့ ပြန်ရောက်သွားပါမည်။ SPF-စစ်ဆေးမှုများကို ကျော်ဖြတ်ရန် ၎င်းကို သုံးနိုင်သော်လည်း အတုအယောင်အီးမေးလ်တစ်စောင် ပေးပို့နေဆဲဖြစ်သည်။
- စီမံခန့်ခွဲသူများအတွက် အခြေခံစကားဝှက်မူဝါဒကို အကောင်အထည်ဖော်ခဲ့ပြီး မူရင်းစကားဝှက် “gophish” ကို ဖယ်ရှားခဲ့သည်။ ယင်းအစား၊ Gophish ကို ပထမဆုံးအကြိမ် စတင်သောအခါတွင် ကနဦး စကားဝှက်ကို ယခု ကျပန်းထုတ်ပေးပြီး terminal တွင် ပြသထားသည်။ လိုအပ်ပါက၊ ကနဦး စကားဝှက်နှင့် API သော့ကို ပတ်ဝန်းကျင် ကိန်းရှင်များ အသုံးပြု၍ လွှမ်းမိုးနိုင်သည်။
- webhooks အတွက် ပံ့ပိုးမှု ထပ်ထည့်ထားသည်။ webhook တစ်ခုကို configure လုပ်ခြင်းဖြင့်၊ Gophish သည် ယခုအခါ ထိန်းချုပ်ထားသော endpoint သို့ HTTP တောင်းဆိုချက်များကို ပေးပို့နိုင်ပြီဖြစ်သည်။ ဤတောင်းဆိုချက်များတွင် API မှတစ်ဆင့် သင်ပုံမှန်လက်ခံရရှိမည့် JSON နှင့် သက်ဆိုင်သည့် ဖြစ်ရပ်၏ JSON ကိုယ်ထည် ပါဝင်ပါသည်။ ဤအဆင့်မြှင့်တင်မှုသည် ကမ်ပိန်းလှုပ်ရှားမှုများအတွက် အချိန်နှင့်တပြေးညီ အပ်ဒိတ်များကို ပေးဆောင်ပါသည်။ ၎င်းသည် သင့်အား လက်ရှိလုပ်ဆောင်နေသော ကမ်ပိန်းများအတွက် အချိန်နှင့်တစ်ပြေးညီ အပ်ဒိတ်များကို ပေးပါသည်။
- Gophish တွင် IMAP အသေးစိတ်များကို စီစဉ်သတ်မှတ်နိုင်သည့်စွမ်းရည်ကို မိတ်ဆက်ခဲ့ပြီး၊ ၎င်းသည် ကမ်ပိန်းအီးမေးလ်များကို ရယူကာ ၎င်းတို့အား အစီရင်ခံအဖြစ် အမှတ်အသားပြုနိုင်သည်။
ကောက်ချက်
ဤအင်္ဂါရပ်အသစ်များဖြင့်၊ သင်သည် ယခု ပိုမိုလုံခြုံပြီး ထိရောက်သော GoPhish ကို အသုံးပြုနိုင်ပါသည်။ နောက်ဆက်တွဲ ထုတ်ဝေမှုများသည် အနာဂတ်တွင် ထွက်ပေါ်လာသည်နှင့်အမျှ၊ GoPhish သည် ၎င်းတို့၏ ဖြားယောင်းမှုဆိုင်ရာ လေ့ကျင့်ရေးပရိုဂရမ်များကို အားကောင်းစေရန် ရှာဖွေနေသည့် အဖွဲ့အစည်းများအတွက် အဖိုးတန်ကိရိယာအဖြစ် ဆက်လက်ရှိနေဦးမည်ဖြစ်သည်။
