网站安全检测内容(社会工程学攻击身份信息梳理工作关系网络梳理生活关系(组图))

　　网站安全检测内容(社会工程学攻击身份信息梳理工作关系网络梳理生活关系(组图))

　　一、概览

　　社会工程学是信息采集技术的延伸和升级，是一种先进的信息利用手段。系统中最大的漏洞始终是人。社会工程攻击是有效利用此类漏洞的一种手段。看似不起眼、不专业、不技术，其实是最有效、最直接的攻击方式。一个。

　　面对机器，同样的输入只有一个结果；在人的面前，同样的输入有成千上万种不同的反馈。基于这些，探索更深层次的信息是社会工程学的魅力所在。以下是信息采集列表和社会工程学在测试中大放异彩的案例，供大家参考。 （更详细的思维导图见附录，还在更新中）

　　二、测试列表

　　社会工程学攻击

　　身份信息采集

　　姓名、昵称、性别发现

　　学生简历发现

　　当前和当前的手机号码发现

　　关系网络梳理

　　打击工作关系网络

　　结合生活关系网

　　社交信息发现

　　朋友圈、QQ空间等遗留信息的发现

　　其他约会应用信息发现

　　水坑攻击

　　网络钓鱼攻击

　　电子邮件网络钓鱼

　　网络钓鱼

　　密码猜测三、案例分析

　　就像世界著名的黑客——凯文·米特尼克（Kevin Mitnick）今天仍然饱受争议一样，社会工程学作为他的主要武器之一，也饱受人们最大的质疑。人们常说，社会工程学无非是一种“骗局”方法，仅仅称其为安全技术是不够的。诚然，社会工程学并不是通常专注于计算机网络技术的安全工作者常用的技术，也不是每个安全工作者都涵盖的，但是“无论黑猫还是白猫，能抓老鼠的就是好猫.” “对于不择手段的黑客来说，能达到目的的手段就是最好的手段。

　　体制最大的漏洞永远是人，而要塞往往是最先从内部被攻破的。以下案例将揭示利用人性进行攻击的社会工程技术的威力。

　　网络钓鱼攻击

　　电子邮件网络钓鱼

　　安全人员在测试交易所时，最容易联系到的就是客服人员，因此负责对外沟通的客服人员往往成为社会工程攻击的主要目标。

　　零时科技安全团队的研究人员对一家交易所进行了安全测试。经过基础信息采集阶段和简单的漏洞测试，发现交易所K线存在TradingView DOM XSS，该漏洞结合钓鱼策略对交易所客服人员发起社会工程攻击由于DOM XSS载荷中的域名与交换域名相同，容易让一些安全意识不高的客服人员进入陷阱。

　　下图是零时科技安全团队构建的发送给交易所客服人员的钓鱼邮件：

　　网络钓鱼电子邮件

　　当客服人员打开邮件并点击邮件中的链接时，攻击者可以获得客服人员的登录会话认证，成功控制客服人员账号。

　　获取登录会话身份验证

　　网站鱼

　　在社会工程领域，对人的攻击最重要的两点是信任和需求。

　　在某厂商开发商授权的测试中，零时安全团队测试人员声称发现某个网站是推特镜像，在中国也可以访问。内容实时更新，诱使人点击进入 钓鱼人网站提前准备好输入推特账号和密码。

　　下图显示了开发者的推特账号和密码。

　　推特账号和密码

　　身份信息采集

　　将工作和生活分开而不交叉已经成为一种非常流行的趋势。比如区分在各自工作和生活领域使用的手机、微信、QQ等。这样的趋势似乎是职场人工作压力大、换环境逃避压力的普遍趋势，但也不是没有安全考虑。

　　当零时安全团队被授权测试某交易所时，发现了一个与该公司相关的贴吧ID（经核实是某某公司经理），然后基于此继续探索ID，并成功找到此人的QQ、手机号和另一个个人ID。由于此人的社交风格不区分工作和生活使用，根据被管理的手机和QQ号，找到了其他注册的论坛ID等信息，并对管理员进行了心理分析，猜测密码为姓名拼音姓名首字母+出生日期+字符“.”。它为直接接触后实施的社会工程攻击方法提供了很多便利。 （以下为部分资料）

　　下图显示了此人的具体信息。

　　此人的身份信息