CTF-Web培训章节-社会工程学
目录
1、Web应用信息泄露
2、Web应用权限安全
3、社会工程学
4、总结
社会工程学
社会工程学是一种结合开源情报搜集进行人性攻击的一种网络攻击手段,综合运用信息搜集、语言技巧、心理陷阱等多种手段,完成欺骗的目的。
社会工程学采用的技术手段可分为以下几种:社工库收集、google hacker语法、开源代码平台(github)语法、社工字典等等。
社工库收集
所谓社工库,通常是指含有大量用户敏感信息的数据库或数据包 。 用户敏感信息包括但不限于账号、密码、姓名、身份证号、电话号码、人脸信息、指纹信息、行为信息等 。 由于这些信息非常有助于攻击方针对特定目标设计有针对性的社会工程学陷阱,因此将这些信息集合起来的数据包或数据库就被称为社会工程学库,简称社工库 。
Google(baidu) hacker语法
搜索引擎对于一位渗透测试者而言,他可能是一款绝佳的黑客工具,我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。
开源代码平台(github)语法
在渗透测试的信息收集阶段,可以去Github和码云上搜索与目标有关的信息,有些开发人员将代码上传到代码库的时候,会附带一些配置信息,可以得到意外的收获。参考链接:https://mp.weixin.qq.com/s/R3MId7-7gDki4shr5t7pgg
社工字典生成
Cupp工具介绍
Kali下执行cupp -i然后和工具开始交互,会让你输入被攻击目标的姓、名、外号、生日、父母的名字、外号、生日、子女的名字、外号、生日等等一系列的信息。
分类:
CTFWTP
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· spring官宣接入deepseek,真的太香了~