《黑客攻防從入門到精通》:社會工程學
社會工程學攻擊概述
攻擊者如果沒有辦法通過物理入侵的辦法直接取得所需要的資料時,就會通過電子郵件或者電話對所需的資料進行騙取
攻擊資訊擁有者
資訊擁有者是無價的資訊寶藏,攻擊者大可不必因為一個口令而把大量精力花費在系統入侵與破解上,直接針對資訊擁有者的脆弱性開始進行攻擊,可以避免一些不該發生的事情,如口令變,系統補丁升級等。
常見的社會工程學攻擊
1.環境滲透 通過觀察目標對電子郵件的響應速度,重視程度及可能提供的相關資訊資料,比如一個人的姓名,生日,ID電話號碼,管理員的IP地址,郵箱等,通過這些收集資訊來判斷目標的網路架構或系統密碼的大致內容,從而獲得情報。 2.引誘 引誘使用者進入介面進行下載程式,或要求填寫賬戶和口令以便“驗證”身份 3.偽裝
社會工程學攻擊時刻在發生
1.非法獲取使用者的手機號 2.網路釣魚
資訊搜尋
利用搜索引擎搜尋 搜尋語法: 1.site ----把搜尋範圍限定在特定的站點內 使用語法:在搜尋引擎中輸入的查詢內容的後面加上“site: 站點域名”
注意:“site:”後面跟的站點域名,不要帶“http://”和“/”符號 另外,site :和站點名之間,不要帶空格,否則會出現錯誤。
2.intitle----把搜尋範圍限定在網頁標題中 使用語法:把查詢內容中特別關鍵的部分,用“intitle:”打頭
3.inurl----把搜尋範圍限定在URL連結中 用inurl語法找到網頁的URL(中文名稱:統一資源定位符,是對網際網路上得到的資源的位置和訪問方法的一種簡潔的表示)相關資源連線 使用語法:“inurl:”後面需要在URL中出現的關鍵詞 4.減號----要求搜尋結果中不含特定查詢內容 使用語法:搜尋內容 intitle:需要篩除的資訊
利用其它渠道進行資訊收集
除了搜尋引擎之外,現在還有很多的線上服務。 1.利用找人網手機資訊 全球最大的中文搜人引擎–Ucloo 優庫網 http://www.ucloo.com 中國最大的尋人網站–人肉搜尋找人網 公益性的人肉搜尋擎
2.利用查詢網收集資訊 查詢網:提供了大量實用的工具。