社會工程學和前端安全。古典的社會工程學攻擊案例:社會工程師利用人們的好奇心,或者貪圖便宜的心理,讓某人撿起不小心丢下的USB,在好奇心的驅使下,該人将該USB插入自己的計算機,打開帶後門的PDF檔案,在不知不覺中給該人的計算機中上了木馬。回顧上一章前端安全中重點介紹的XSS技術,如果使目标打開特定u盤的檔案有點困難,打開連結就會變得簡單,如何使目标打開攻擊者結構的惡意連結,需要社會工程學的協助,最有效的方法是發送讓目标感興趣的郵件當然,不僅僅是XSS,社會工程學還可以配合釣魚攻擊、CSRF等其他先進技術。
社會工程學和滲透測試。社會工程學協助滲透測試的例子數不勝數,滲透某個網站遇到困難時,給網站的呼叫人員打電話,往往能解決很多問題。此外,許多伺服器的登入密碼與該伺服器的管理者有關,密碼總是有個人痕迹,是以利用社會工程學獲得伺服器管理者的資訊後,進行伺服器滲透測試要簡單得多,如果想要對自己伺服器或網站進行詳細的滲透測試服務的話,國内如SINESAFE,鷹盾安全,綠盟,啟明星辰,大樹安全,都是安全方面的安全技術公司。
社會工程學和無線攻擊。有以下例子:某攻擊者想要獲得某個程式的源代碼,他做了一系列的準備活動——獲得咖啡店的無線路由器密碼,控制在目标附近的照相機,然後将目标(源代碼所有者)約定在咖啡店,通過照相機捕獲被攻擊者行動的圖像資訊,之後的事情很難想象。這個例子在本章之前有詳細的恢複過程,讀者可以帶着社會工程學的想法複習,考慮能做什麼,應該怎樣預防。
防禦和減輕社會工程學攻擊的第一步是了解攻擊,從攻擊者的角度出發,全面了解防禦。社會工程學是人與人接觸的藝術,但這并不意味着所有與你接觸的人都是攻擊者,保持适當的警惕,學會識别社會工程學的攻擊,是不影響生活的同時防禦社會工程學攻擊的最好方法。