作者: 陆羽, 出处:it168, 责任编辑: 郭秋爽, 2008-06-06 09:26
什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
通常在对一个纯静态页面或者服务器和网站程序都不存在安全漏洞的网站做安全检测的时候我们采取的办法就是入侵C段服务器然后继续渗透,但是这样的办法面对一些独立机房的服务器就束手无策了,所以我们引入社会工程学做安全检测!
通过对网站工作人员的社会工程学欺骗手段获取网站相关管理信息——服务器密码、SQL数据库密码、FTP密码、网站管理后台地址、网站管理密码等。假如没办法直接获取Web服务器及Sql服务器的权限资料,我们就要将目标锁定在公司内部员工及管理层的电脑 权限上了。通过社会工程学手段获取公司员工资料及联系方式(姓名、电话、生日、QQ、邮箱、电话等)。当我们获取这些重要信息的时候我们离服务器权限已经很近了!
为了方便大家更好的理解我所说的安全检测过程,我画了张简单的结构示意图:
如图我们来看下哪些人为因素可能导致安全问题:
1. 服务器管理人员的专业素质
2. OA系统中的成员素质
3. 企业对涉密资料保密措施
4. 人员数据流动传输介质的管理防护
5. 人员间的联系及操作审核