“信任危机”---网络安全的软肋

来源： 编辑：duliying 更新日期：2008-6-10 12:00:20 浏览：201 次

  　什么算是社会工程学呢?它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。
 文章导读 1、社会工程学的概念 2、社会工程学实施前奏 3、如何诱骗目标上当 4、社会工程学防御手段
　　社会工程学(Social Engineering)，一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。那么，什么算是社会工程学呢?它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。 　　通常在对一个纯静态页面或者服务器和网站程序都不存在安全漏洞的网站做安全检测的时候我们采取的办法就是入侵C段服务器然后继续渗透，但是这样的办法面对一些独立机房的服务器就束手无策了，所以我们引入社会工程学做安全检测! 　　通过对网站工作人员的社会工程学欺骗手段获取网站相关管理信息——服务器密码、SQL数据库密码、FTP密码、网站管理后台地址、网站管理密码等。假如没办法直接获取Web服务器及Sql服务器的权限资料，我们就要将目标锁定在公司内部员工及管理层的电脑 权限上了。通过社会工程学手段获取公司员工资料及联系方式(姓名、电话、生日、QQ、邮箱、电话等)。当我们获取这些重要信息的时候我们离服务器权限已经很近了! 　　为了方便大家更好的理解我所说的安全检测过程，我画了张简单的结构示意图： 　　   　　如图我们来看下哪些人为因素可能导致安全问题： 　　1. 服务器管理人员的专业素质 　　2. OA系统中的成员素质 　　3. 企业对涉密资料保密措施 　　4. 人员数据流动传输介质的管理防护 　　5. 人员间的联系及操作审核 接下来我们来详细说明下如何通过这些可能导致安全问题的人获得更多的资料和权限。 　　这里我由易到难逐一进行说明。再进行下面具体的社会工程学渗透之前我们要先收集一定的资料例如： 　　网站运营公司名称、地址、所有联系方式、服务器IP段、服务器所在机房、机房工作人员资料、公司工作人员资料(包括公司高层管理人员及服务器管理人员)、域名、域名购买地点、域名所有人信息、域名注册邮件地址 　　公司和网站域名得相关资料都很好获得，这里就不做详细说明了。我们这里重点讲如何获得人员联系方式： 　　首先是网站所在服务器IDC机房人员资料： 　　通过前面搜集服务器所在IP段我们可以通过直接访问IP得知服务器提供商。例如你访问北京万网服务器机房的服务器IP的时候都会看到万网服务器的广告页面。那么我们就可以确定所在机房信息，接下来就是到服务器提供商的网站上

　第1页/总4页　 第一页 上一页 下一页　最后一页     【发表评论】

昵   称：	(不填写则显示为匿名)
标   题：
内   容：	字数上限为1000字
免责声明：网友对此资源信息的评论仅代表个人观点，中国人才库有权删除违乱评论信息！

最新资源

·韩舞蹈网游公开Super Ju ·融入东西文化 新作《君主 ·谷歌投资太多或变身共同 ·MySpace推应用小工具 电 ·监测数据称每天约有500万

资源推荐

·SNS网站两极分化严重：10家 ·土豆优酷双双遭难 视频第二 ·龙芯首个实体店开业在即 不 ·欧美科幻大作《星际迷航OL ·细数09年值得期待的两款韩

资源排行

·100个最古老互联网域名 最 ·湖北设立创投引导基金 首期 ·手机里的情书陪我们度过最 ·雨林木风重金购买域名115. ·来生要为你变成另一蝴蝶

名站导航

◆ 音乐MP3 ◆ 聊天网址 ◆ 游戏网址 ◆ 幽默笑话 ◆ 各地大学 ◆ 考试培训 ◆ 论文考研 ◆ 旅游网址 ◆ 法律法规 ◆ 网页制作 ◆ 英语学习 ◆ 政府组织 ◆ 新闻报刊 ◆ 人才招聘 ◆ 营养美食 ◆ 娱乐明星 ◆ 文学小说 ◆ 军事资讯 ◆ 软件下载 ◆ 艺术欣赏