社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的计算机,打开带后门的PDF文件,在不知不觉中给该人的计算机中上了木马。回顾上一章前端安全中重点介绍的XSS技术,如果使目标打开特定u盘的文件有点困难,打开链接就会变得简单,如何使目标打开攻击者结构的恶意链接,需要社会工程学的协助,最有效的方法是发送让目标感兴趣的邮件当然,不仅仅是XSS,社会工程学还可以配合钓鱼攻击、CSRF等其他先进技术。
社会工程学和渗透测试。社会工程学协助渗透测试的例子数不胜数,渗透某个网站遇到困难时,给网站的呼叫人员打电话,往往能解决很多问题。此外,许多服务器的登录密码与该服务器的管理者有关,密码总是有个人痕迹,因此利用社会工程学获得服务器管理者的信息后,进行服务器渗透测试要简单得多,如果想要对自己服务器或网站进行详细的渗透测试服务的话,国内如SINESAFE,鹰盾安全,绿盟,启明星辰,大树安全,都是安全方面的安全技术公司。
社会工程学和无线攻击。有以下例子:某攻击者想要获得某个程序的源代码,他做了一系列的准备活动——获得咖啡店的无线路由器密码,控制在目标附近的照相机,然后将目标(源代码所有者)约定在咖啡店,通过照相机捕获被攻击者行动的图像信息,之后的事情很难想象。这个例子在本章之前有详细的恢复过程,读者可以带着社会工程学的想法复习,考虑能做什么,应该怎样预防。
防御和减轻社会工程学攻击的第一步是了解攻击,从攻击者的角度出发,全面了解防御。社会工程学是人与人接触的艺术,但这并不意味着所有与你接触的人都是攻击者,保持适当的警惕,学会识别社会工程学的攻击,是不影响生活的同时防御社会工程学攻击的最好方法。
