《Kali Linux渗透测试的艺术》—8章8.7节本章总结

8.7 本章总结
Kali Linux渗透测试的艺术
在本章中,我们阐述了社会工程学在生活中各领域的常见用法。渗透测试人员可以根据实际情况采取相应的社会工程学策略,获取目标的敏感信息。人性本身非常容易受到这种技术的欺骗攻击。为了全面介绍社会工程学的技巧,本文讨论了构成人类心理学模型的几个因素,这些因素包括沟通、环境、知识和沟通模式控制。这些心理学原则可帮助攻击人员根据被测目标的实际情况,拟定适用的攻击过程(情报收集、确定漏洞点、规划攻击和执行攻击)和攻击方法(冒名顶替、投桃报李、狐假虎威、啖以重利和社会关系)。随后,我们演示了 SET 的使用方法,它具有在线进行自动化社会工程学攻击的强大功能。

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

时间: 2024-11-29 04:28:04

《Kali Linux渗透测试的艺术》—8章8.7节本章总结的相关文章

《Kali Linux渗透测试的艺术》—第2章2.3节安全测试方法论

2.3 安全测试方法论 Kali Linux渗透测试的艺术 为满足安全评估的相应需求,人们已经总结出了多种开源方法论.无论被评估目标的规模有多大,复杂性有多高,只要应用这些安全评估的方法论,就可以策略性地完成各种时间要求苛刻.富有挑战性的安全评估任务.某些方法论专注于安全测试的技术方面,有些则关注管理领域.只有极少数的方法论能够同时兼顾技术因素和管理因素.在评估工作中实践这些方法论,基本上都是按部就班地执行各种测试,以精确地判断被测试系统的安全状况. 本书再次向您推荐几种著名的安全评估方法论.本

《Kali Linux渗透测试的艺术》—第2章2.节本章总结

2.7 本章总结Kali Linux渗透测试的艺术本章详细介绍了多种渗透测试方法论,以及渗透测试的基本术语.相关类型,还有这些术语和业内其他术语之间的区别.本章的重点内容如下. 渗透测试可分为黑盒测试和白盒测试.黑盒测试也称为外部测试,在黑盒测试中,审计人员事先不了解目标系统的内部结构或任何技术.白盒测试也叫内部测试,在白盒测试中,审计人员了解目标系统的全部细节.结合黑盒测试和白盒测试的测试类型,称做灰盒测试.脆弱性评估和渗透测试最基本的不同点在于:脆弱性评估旨在找出目标系统中存在的安全漏洞,并

《Kali Linux渗透测试的艺术》—第8章8.1节人类心理学建模

第8章 社会工程学攻击Kali Linux渗透测试的艺术社会工程学是利用人性弱点体察.获取有价值信息的实践方法,它是一种欺骗的艺术.在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段.对所有类型的组织(单位)而言,人都是安全防范措施里最薄弱的一环,也是整个安全基础设施最脆弱的层面.人都是社会的产物,人的本性就是社会性,所以人都有社会学方面的弱点都易受社会工程学攻击.社会工程学的攻击人员通常利用社会工程学手段获取机密信息,甚至可以造访受限区域.社会工程学的方式多种多样

《Kali Linux渗透测试的艺术》—第2章2.1节渗透测试的种类

第2章 渗透测试方法论Kali Linux渗透测试的艺术渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段.方法论是在制定.实施信息安全审计方案时,需要遵循的规则.惯例和过程.人们在评估网络.应用.系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结出了一套理论--测试方法论.本章简要介绍了渗透测试方法论的各关键要点,涉及的主题包括: 两种广为认知的渗透测试类型--黑盒测试和白盒测试:漏洞评估和渗透测试的区别:业界普遍采纳的安全

《Kali Linux渗透测试的艺术》—8章8.6节Social Engineering Toolkit(SET)

8.6 Social Engineering Toolkit(SET) Kali Linux渗透测试的艺术 Social Engineering Toolkit(SET)是一款先进的多功能的社会工程学计算机辅助工具集.它由TrustedSec(https://www.trustedsec.com)的创始人编写,可以行之有效地利用客户端应用程序的漏洞获取目标的机息(例如E-mail密码).SET可实现多种非常有效且实用的攻击方法.其中,人们常用的方法有:用恶意附件对目标进行E-mail钓鱼攻击.J

《Kali Linux渗透测试的艺术》—第2章2.6节道德准则

2.6 道德准则 Kali Linux渗透测试的艺术 专业的.道德的.经过授权的安全测试服务,离不开由事先约定的规则所组成的安全测试道德准则.这些准则约定了安全测试服务的服务方式.安全实施的测试方法.合同和谈判所约定的法律条款.测试的范围.测试的准备.测试的流程,以及报告结构的一致性.要顾全上述因素,就要仔细地考察.设计在整个测试过程中都要遵循的正规的操作方法和相关流程.下面将介绍一些常见的到的准则. 审计人员不得在和客户达成正式协议之前对目标系统进行任何形式的渗透测试.这种不道德的营销方法有可

《Kali Linux渗透测试的艺术》—第2章2.5节通用渗透测试框架

2.5 通用渗透测试框架 Kali Linux渗透测试的艺术 Kali Linux属于通用型操作系统,它配备有多种安全评估工具和渗透测试工具.在没有合适的测试理论指导的情况下冒然使用这些工具,可能会导致测试失败,测试结果可能无法让人满意.因此,从技术管理的角度来看,遵循正规的测试框架对安全测试极为重要. 这一小节将通过黑盒测试的具体方法和白盒测试的通用测试方法介绍通用测试框架.它涵盖了典型的审计测试工作和渗透测试工作会涉及到的各个阶段.评估人员可以根据被测目标的具体情况对上述测试方法进行相应调整

《Kali Linux渗透测试的艺术》—8章8.2节攻击过程

8.2 攻击过程Kali Linux渗透测试的艺术本节将介绍一些发动社会工程学攻击的基本步骤.虽然这不是社会工程学攻击的唯一方法,甚至可以说没有成功率高的正式方法,但是本文的这些步骤可帮助您形成社会工程学的基本认识.情报收集.识别漏洞.规划攻击和执行攻击--社会工程学工程师通常都会采用这些某本步骤,它们可有效获取目标的有关信息或访问权限. 1.情报收集:多种技术都可用于找到最容易攻破的渗透测试目标.例如,我们可采用髙级搜索工具收集被测公司员工的E-mail地址:通过社交网络收集被测单位员工的个人

《Kali Linux渗透测试的艺术》—8章8.3节攻击方法

8.3 攻击方法Kali Linux渗透测试的艺术社会工程学中,有5种有助于理解.识别.结交.准备目标的攻击方法.社会工程学按照它们的特点,将它们进行了归类.本节介绍了一些真实的案例,以帮助读者在实际情况中灵活运用各种所需方法.请注意这些攻击方法针对的是个人的心理学因素,要想提高这些方法的效用,就应该进行定期的训练和练习. 8.3.1 冒名顶替攻击人员常常假装成他人以获取对方的信任.例如,在获取目标人员的银行信息方面,只要目标人员使用E-mail,我们就可以进行钓鱼攻击.这种攻击属于近乎完美的攻