前言: 人员安全是目前企业安全最难做的一块,没有之一,这方面没有人写过专业的文章,而目前所有的企业都存在这方面
人员安全是目前企业安全最难做的一块,没有之一,这方面没有人写过专业的文章,而目前所有的企业都存在这方面的问题,比如员工把服务器和后台密码直接明文保存在云笔记和网盘中,员工企业邮箱密码跟外部个人密码一致等等,通常黑客在入侵的时候只要在微博搜索一个目标公司的员工,拿到常用密码后登陆邮箱,然后在通讯录和邮件中收集其他技术岗位员工的联系方式,最后登录他们的邮箱和云笔记等去翻一些VPN、SVN、SSH等密码,整个过程简单直接有效,而且越大的企业这个问题越严重。
针对人员的入侵基本都会用到社会工程学的手段,那么作为人员,我们该如何认识到,哪些信息会被黑客们盯上?他们又通过什么方式进行收集和解析?
通常黑客都会从公司的系统以及员工个人账户开始入手收集信息,公司的包括企业邮箱、OA系统、SVN、运营系统、运维系统等等,个人账户像云笔记、网盘、电商网站、招聘网站等,这些网站一般都有很多敏感的个人信息,整个入侵的大致思路如下,其中比较关键的密码环节,黑客怎么样才能拿到员工的常用密码,通常有以下几种情况:
1. 社工库查询
根据个人信息进行关联挖掘。如果只是用一个邮箱搜一下,那你可能只能得到这个人的一个密码,但是如果你通过这个密码进行搜索,就能关联出他的另外一个邮箱地址,然后再搜索这个邮箱地址,很大可能就找到了他的第二个常用密码,画个图表示一下
2. 猜密码
这里说的猜密码不是盲目的123456,那是暴力破解,猜密码是指根据目标人的个人信息和习惯去分析他可能会使用的密码是多少
!使用个人信息作为密码,如cxx19880516(陈萱萱的生日是1988年5月16日)。
!每次改密码只会修改前面或者后面一两个数字或者字母, 再者就是调整下顺序。
3. 暴力破解
在根据个人信息生成密码之后,我们就可以利用这些密码进行暴力破解,另外一些大多数人的常用密码如123456、1qaz2wsx一类我们称为弱口令,可以专门整理一本字典进行爆破,我个人根据经验手写了一批字根生成了一份20万条的密码字典,用来爆破的成功率也是非常高。
爆破也不仅仅是爆破密码,用户名需要爆破,在不知道密码和用户名的情况下就进行爆破叫做盲爆,通常国内企业邮箱的前缀都是个人姓名的拼音,如陈萱萱的邮箱可能是chenxuanxuan@example.com,我将互联网泄露的几千万姓名转换成拼音,然后按重复次数进行去重排序,用这个字典爆破企业邮箱,用户名为姓名拼音,密码为姓名拼音,姓名拼音后面加123或者520这类的形式,屡试不爽,这样盲爆的情况下一般总能爆破出来不少,最多的一家企业爆破出来了将近60个员工的邮箱密码。
4. 入侵个人网站及电脑获取密码
这种方式很有效果,一些技术员工很多都有个人博客或者论坛一类,我们只要入侵这个博客,在博客数据库里面翻他的密码,或者修改一下网站代码,加段截获密码的代码,就能拿到他的明文密码。另外关于入侵个人电脑,这得结合一些社会工程学的方式,文章开头的故事就是很好的例子,手段多种多样,之前有一个段子说的,一个黑客为了入侵某家企业,花了两千块钱叫一个小姐专门陪目标公司的网络管理员裸聊,通过小姐将一个木马发送给了这个管理员,成功入侵了这家公司。
哪些信息是你真正必须重视的?我想你应该已经有所了解了。
软件开发测试人才四大魅力元素
——就业竞争小
——高薪没商量
——就业质量高
——无性别歧视
套用狄更斯那句话说:对于急需软件开发测试人员的企业来说,这是一个最坏的时代,但对软件开发测试人才来说,这是一个最好的时代。“随着软件市场的成熟,人们对软件作用的期望值也越来越高,软件的质量和功能可靠性也正逐渐成为人们关注的焦点。”
文章出自:http://qh.itpxw.cn/jyzn/202179605.html
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
IT培训网 访问该机构站点 报名留言 加为好友 用户等级:注册会员
用户级别:10
机构名称:IT培训网
联 系 人:罗老师
联系电话:13783581536
联系手机:13783581536
在线客服:
在 线 QQ:
电子邮件:
网站域名:http://www.itpxw.cn
注册时间:2016-07-18 11:07
最后登录:2021-09-13 16:09
99%的同学,混了几年,连作为一名合格测试的基本功都丢了:...
软件开发测试的出路到底在哪?现在参加软件开发测试培训班还...
近年来,由于IT行业的人才稀缺,越来越多人转向了IT相关职业...
目前的国内市场,很多软件企业都存在着重开发、轻测试的现象...