社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪
图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的
计算机,打开带后门的PDF文件,在不知不觉中给该人的计算机种上了木马。回顾上一章前端
安全中重点介绍的XSS技术,如果使目标打开特定u盘的文件有点困难,打开链接就会变得简单
,如何使目标打开攻击者结构的恶意链接,需要社会工程学的协助,最有效的方法是发送让目
标感兴趣的邮件当然,不仅仅是XSS,社会工程学还可以配合钓鱼攻击、CSRF等其他先进技
术。
社会工程学和渗透测试。社会工程学协助渗透测试的例子数不胜数,渗透某个网站遇到困难时
,给网站的呼叫人员打电话,往往能解决很多问题。此外,许多服务器的登录密码与该服务器
的管理者有关,密码总是有个人痕迹,因此利用社会工程学获得服务器管理者的信息后,进行
服务器渗透测试要简单得多。
,给网站的呼叫人员打电话,往往能解决很多问题。此外,许多服务器的登录密码与该服务器
的管理者有关,密码总是有个人痕迹,因此利用社会工程学获得服务器管理者的信息后,进行
服务器渗透测试要简单得多。
社会工程学和无线攻击。有以下例子:某攻击者想要获得某个程序的源代码,他做了一系列的
准备活动——获得咖啡店的无线路由器密码,控制在目标附近的照相机,然后将目标(源代码
所有者)约定在咖啡店,通过照相机捕获被攻击者行动的图像信息,之后的事情很难想象。这
个例子在本章之前有详细的恢复过程,读者可以带着社会工程学的想法复习,考虑能做什么
,应该怎样预防。
准备活动——获得咖啡店的无线路由器密码,控制在目标附近的照相机,然后将目标(源代码
所有者)约定在咖啡店,通过照相机捕获被攻击者行动的图像信息,之后的事情很难想象。这
个例子在本章之前有详细的恢复过程,读者可以带着社会工程学的想法复习,考虑能做什么
,应该怎样预防。
防御和减轻社会工程学攻击的第一步是了解攻击,从攻击者的角度出发,全面了解防御。社
会工程学是人与人接触的艺术,但这并不意味着所有与你接触的人都是攻击者,保持适当的
警惕,学会识别社会工程学的攻击,是不影响生活的同时防御社会工程学攻击的最好方法。
会工程学是人与人接触的艺术,但这并不意味着所有与你接触的人都是攻击者,保持适当的
警惕,学会识别社会工程学的攻击,是不影响生活的同时防御社会工程学攻击的最好方法。