社会工程学攻击_社会工程学攻击的方式_社会工程学哪个大学有

首先，这里基于社会工程学的攻击该怎么理解？这将是一个讨论的前提。

——————————————————————

我想利用社工进行的攻击就是基于对人性的分析理解而展开的攻击，而不再是基于对机器对编码的理解而进行的解密、规则突破等。

据我所知，很多很多能提权也就是能黑掉小至个人账户大到企业内网的黑客是不需要就编码进行过多分析的，甚至有些人并不具备编码能力。然而，事实是，他们真的把你黑了，把你眼中高大上的企业黑了。

所以基于社会工程学的攻击到了什么程度？

——————————————————————

答案是，已经到了理论上可以黑掉任何网站/企业的程度。

这里强调「理论」上，因为这个过程可能需要漫长的时间和精力去寻找突破口。不排除中途攻击者累了就放弃了的情况。社会工程学攻击

那么我再说说社会工程学攻击通常是怎么进行的。

——————————————————————

也许痴迷于高精尖技术的你或者我都会表示不平，为什么？企业花了那么多财力购置防御设备或系统，雇佣优秀的开发人员、运维人员、安全人员，怎么可能被你一社工手段突破。

这就源于攻防双方的不对等。

对于攻击者来说，只需要找到任何一个无论多么微不足道的弱点，防御方看似坚不可摧的防御体系就可能彻底溃败。

然而对于防御者来说，就算花了巨额投入和人才资源用于防御技术层面的研究，防火墙、WAF 一个又一个，产品代码审计一遍又一遍，测试一遍又一遍。你依然可能因为某一天你司一位几乎与技术沾不上边的员工防线被突破，进而导致你司安全防线全线崩溃，然而技术人员可能都一时「猜不透是哪里出了错~」。

而且现在看来很多防御者力量用错了地方，准确地说是过于局限在了某些地方，而遗忘了一些地方，你辛辛苦苦想通过技术手段做防御，殊不知攻击者根本不需要去绕你家设置的严密规则，人家根本不要撬锁，直接拿你家大门钥匙就堂而皇之进门了！

所以对于防御者，就算努力拿到 99 分都不算数，少了 1 分就注定与安全无缘，很多情况下少了那 1 分，你的企业安全不是 99 分，而是 0 分了！

那么我想说说哪些地方让你丢了那 1 分！

——————————————————————

用一个字来说就是，人！

因为攻击的对象（个人、企业、系统、网站）都是由人来运营、维护、管理的，只要有人参与的活动就不可能万无一失、无懈可击，就会有很多由于人的惰性 or 一时疏忽 or 意识薄弱 or 纪律散漫 or 狗血一点 just 我失恋了精神有点恍惚……带来的问题。

比如经典的花式弱口令！

很多、巨多看起来影响巨大的漏洞不过是一个弱口令导致的。

SNS 帐号弱口令、个人通讯软件弱口令、员工邮箱弱口令、WiFi 密码弱口令、各种带权限的管理系统帐号、权限帐号弱口令、代码托管库弱口令…………任何一个入口被逮着就可能被黑。

纯数字 123456、123456789、888888、000000 这些就不说了死定了啦！

类似经典的 admin, admin 这种弱口令，衍生出来的即是密码==用户名的情况；

密码==用户名的变种，密码==域名、产品名称、产品名称缩写、姓名全拼等，再复杂点在其后添加 123456、123 等数字后缀；

充满情怀的弱口令，自己生日，爱人的/暗恋的人的/……的生日，总之即是与日期有关的所有字段组合方式，leehom520，iloveyou ，nishidahuaidan 等有涵义的拼音、英文短语；

看似很机智其实早被猜的透透的，1h4ngb41lu5h4ngq1ngt14n 类，3.1415926， @123.com 等

全小写英文单词 password，scan，lollol，helloworld……

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-25575-1.html