从防御角度看网络安全和社会工程学

企业信息安全防御:

1.企业、政府员工安全意识非常差劲,各种弱密码(邮箱、管理系统)、各种敏感文件随意丢弃。

2.出现漏洞或者问题,第一时间是推卸责任,而不是整改问题。所以漏洞出现了,一般会经历很长时间去修改。

3.配置、加固方面做得不好,容易泄露某些敏感信息。比如某局的weblogic管理平台居然因为误配置可外网访问,而且还是恶心的弱密码。这真是件很尴尬的事。

4.内部系统非常脆弱,很多企业或者政府的客厅WiFi就可以访问内网系统,而且获取Shell简直易如反掌,各种远程弱口令,各种数据库弱口令

5.客服真是个硬伤,你在没有凭证的基础上便可以问到很多敏感信息,比如修改密码之类的。

6.QQ群,百度贴吧,微信群聊等,敏感文件或密码,一大堆!

 

但是还是那句话,真心想弄一个网站,很少弄不下来的,不扯犊子,来几条思路:

1.从客服下手,问到各种敏感信息,比如各个企业或政府信息管理方面的人的电话、邮箱、以及修改密码之类的操作(你懂得),然后就顺着他们邮箱啊什么的下手吧,无论私人邮箱,还是企业邮箱,你会发现好多敏感信息的。超级多~~而且各种弱密码。

2.关注一下他们的保洁员或者客服小姐姐,哈哈~~~真是信息库啊

3.找个机会靠近他们的WiFi,有些防护差的,直接可以访问服务器,都不用社工他们员工的主机了,进去内网就真的好说了,各种内部系统真的很容易拿到shell,八个字,非常简单,非常脆弱,我有108种蹭wifi的姿势,O(∩_∩)O哈哈~

4.还有就是多关注他们网站的目录和端口吧,很多配置错误的,直接管理后台,弱密码。不然就是别的站的其中一个用户,绝对有弱密码,有段时间天天能在waf上看到各种弱密码登录。

安全共享!勿忘初衷!

posted @ 2018-06-11 10:03  渔夫安全  阅读(345)  评论(0编辑  收藏  举报