网络安全中的社工与社工库 |
网络安全中的社工与社工库
什么是社工?是不是经常听见说谁又被社工了,或者谁社工了谁?那么到底什么是社工?社工可与搜索引擎搜到的社工得到的结果是不同的,可不是什么社会工作,或者社区工作,社工的全称是社会工程学。带上一个工程,再带上一个学字,是不是觉得高端大气上档次了,玩笑暂停,言归正传! 社会工程学原理 ✊🌧🍌🆚🐅 社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段;是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报;是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上,熟练的社会工程师都是擅长进行信息收集的身体力行者。 有一本书很出名,估计很多同学都有听说过,叫做《欺骗的艺术》,其实社会工程学就是米特尼克(第一个被美国联邦调查局通缉的黑客。有评论称他为世界上“头号电脑黑客”,成功闯入“北美空中防护指挥系统”等)在这本书中提出的,不过其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失,但是现在真正的应用似乎不是这样的。 🧑🚀🕶🔍🤐👊 社工的危害 以现在安全工程及密码学手段,单纯的从算法或用暴力计算去找寻安全漏洞,已经今非昔比的困难了。然而利用人自身的各种心理和行为来实现,反而容易的多,毕竟所有的安全工程都是由人造就的。那么人的自然行为的缺陷就会存在。 你可以想象下,你不用会任何的代码编写,不用了解任何的安全漏洞,不是一名计算机高手,结果你利用社工,却能让一个人”赤裸裸”的展现在你眼前,这是多么神奇的一件事。 👵💎🛏😷🖐 其实,社工的利用,包含了很多东西,初学安全的同学别一看介绍就想着马上去学社工,这其中涉及了许多的”斗智斗勇”的过程,也绝非想象的那么简单。 社工库 讲了那么多,想来大家大概明白了社工所谓何物了。那么社工库呢?跟社工相差一字。其实按照字面理解,库就是数据库的意思,组合起来就是社工数据库,其实已经基本是这个意思了。👨🦱🛍🗝👻👆 上面的社工介绍大家明白了社工在信息收集方面的作用,这些信息中可能有个人信息有密码等等,那么,那么与其每次需要社工的时候再去搜集信息,当有某个网站或者某个应用等之类的数据库或者相关一些数据泄漏出来或者其他方式可以获得,那么为什么不提前收集起来,然后在需要的时候再来查询呢?这样不是更省事省时? 现在大家应该大概理解社工库了也明白社工库是怎么收集的了。其实社工库看似简单,当数据量足够大的时候,就容易查到自己想查的信息,但是其实也有许多的问题,比如不同的数据库如何处理后入库,不同数据之间如何关联,这么大量的数据如何做到快速的搜索。其实还是涉及到挺多问题,当然这些就是数据库处理方面的额问题了。 👈🏝🍊🚭🦚就社工库来说,应该很多组织及个人手里都有一个社工库,可能来源主要都是那些泄漏出来的数据库,比如之前的酒店登记数据,XXX被脱的数据库等等。至于不同的社工库量都有多少?内容都是什么,这个不尽相同。对于很多社工库来说,存储达到T,数据量达到亿级别都是小case。而内容方面,帐号密码、邮箱地址、个人信息等等,也看大家自己的处理方式,这个就不一定了。 再看看网上那些社工库,其实就是作了处理,对外提供了搜索服务。一个社工库,威力有多大,就看数据库的数量和质量了,理论上达到了一定的量,很多的东西都是可以查的出来的,特别是那些基本所有网站都一个密码的,只要一个社工库的收集的其中一个数据库有他的帐号密码,那么查出来的密码就可以直接登陆该用户的其他帐号了,所以安全方面的防范大家都明白了,要准备多种的防护措施。 结语👨🚒👞📀😄👎 就像社工原本的提出,初衷是好的,希望提高大家的安全意识。技术都是如此的,包括社工或者社工库的使用,怎么用,其实要讲的就是,这是双面刃,都是由使用者决定。
帖子热度 5708 ℃
|
|
楼主的帖子实在是写得太好了。文笔流畅,修辞得体,深得魏晋诸朝遗风,更将唐风宋骨发扬得入木三分,能在有生之年看见楼主的这个帖子。实在是我三生之幸啊。看完楼主的这个帖子之后,我竟产生出一种无以名之的悲痛感——啊,这么好的帖子,如果将来我再也看不到了,那我该怎么办?那我该怎么办?直到我毫不犹豫地把楼主的这个帖子收藏了,我内心的那种激动才逐渐平静下来。可是我立刻想到,这么好的帖子,倘若别人看不到,那么不是浪费楼主的心血吗?经过痛苦的思想斗争,我终于下定决心,牺牲小我,奉献大我。我要拿出这帖子奉献给人赏阅,我要把这个帖子一直往上顶,往上顶!顶到所有人都看到为止!
|