社会工程学实践前言和开篇
作者【MXi4oyu 】
QQ:【798033502】
【个人简介】
我本江淮客,杖剑走江湖.风吹青春发,雨打苍茫须.胸怀纳四海,文章学李杜.仗义轻女色,爱酒重诗书.才高难为用,树大招风辱.十年磨一剑,凌锋指鸿宇.朝饮塞外客,暮宿江边胪.寻仇峨嵋巅,结怨洞庭湖.鸟兽有生死,草木自荣枯.蹉跎白驹过,恍惚大梦苏.赤脚华容道,拔剑犹自许.九死尤未悔,万里追鸿鹄!
前言
现在的时间是2013年1月5日凌晨1点43分57秒。我一个人呆在屋子里裹着被子,在写这篇文章。也许只有自己一个人的时候,才会静下来思考下人生,思考下未来的路。2012年,在人们的诚惶诚恐中安稳的过去了,2012不是世界末日,而是代表旧的一切的结束和新的一切的开始。我现在想引用海洋顶端的一句话“思念一个人,思绪就是一条河流,而我是水底的石头。我一动不动,思念的河流流过。也许若干年后,我已长满了青苔,哪有谁明白这是思念的沉垢?”,我甚至不知道为什么我会在在这时候会突然想到这句话,也许是潜意识在作怪吧。前段时间我自己做了一个决定,“我决定再也不碰其他编程语言了,ASM/C/C#.NET/Python就够了!无论做什么事情,脑中都要有这个词——价值。没有价值的东西,易变,不易把握,不易长久。追逐技术,需要考虑价值问题。我们是为了实现价值去学习技术,而不是单纯的为了技术而技术。你学到和用到的编程语言并不重要。不要被围绕某一种语言的宗教把你扯进去,这只会让你忘掉了语言的真正目的,也就是作为你的工具来实现有趣的事情。”
《Web安全编程与渗透分析》,不知道大家是否还记得这本未完成的书。可以说2012是我遗憾的一年,倒霉的一年,不顺的一年。下面给大家看一篇我曾经写的日志“我是2月9号正式入职的,来学校的第一个月在运营中心,对局域网内的电脑一一进行安全检测,这段时间重新学习了下MSF,但我很想去教网络安全,从运营中心转入.NET教研组,从此,犀利的事情开始发生了。
3月15日,这是一个值得纪念的日子,纪念我那一去不复还的笔记本电脑。因为这是第一个月,刚发工资没多久,我的笔记本电脑被偷了,悲催啊。
其后,马老师的3000块钱现金被盗。
其后,杨老师与他女朋友分手。
其后,杨老师离职。
其后,黄老师与其男友分手。
其后,房老师儿子生病住院。
其后,王老师与其女友分手。
其后,我的上衣衬衫被某学生偷走。
其后,史老师辞职。
其后,我与女友分手。
其后,蔡老师丢了1000块钱。
上帝啊,您能再悲催点么?
而就在今天,就在这个阳光明媚到TMD热死他爹的今天,就在这个该死的中午,我的U盘丢了。
你妹啊,16G的U盘啊,N多课件啊,这3个月来我的汗水啊,我累个去,平常不去食堂的,就去了一次还丢了一个U盘,哪位好心的学生捡到了希望您高抬贵手,给俺送来不?俺叫您叫哥了,行不?
====================================================
后记:
人伤心的时候总是能想起更多伤心的事情,我记得我曾经在XX市的XX路公交上被掏过钱包,其中一张农行卡、一张工行卡、300块钱现金、一张200块钱的押金条子,身份证,还有广州天河城的那张电影票。哎,给我一杯矿泉水吧。。。。。。神啊~”
那张天河城的电影票是和珊珊一起看电影的时候留下的。
那个丢了的U盘里面恰恰是《Web安全编程与渗透分析》的手稿。
可惜我没传到网盘,留在电脑里一份,电脑被偷了。留在U盘里一份,这一份是相对来说最全的,但是U盘丢了。还有就是剩下的支离破碎的文章,东拼西凑,总是无法复原成原来的模样。后来由于工作的原因,也无暇再继续写书,PPT到是做了不少。
而现在我决定把有关社会工程学的东西装订成书,做个电子版的PDF供大家下载和学习。书中有些例子并非原创,而是来自于网络,但都加上了我自己的见解。写这本书的目的仅供大家学习、参考、方便大家查阅,因此装订成书,并无教唆大家去欺骗别人和触犯法律。我出社工的教程不是让大家不去相信别人,恰恰是希望这个社会多一点信任.朋友之间不应该有骗。而我决定出完这套社工教程和写完这本电子书后还是把重心放在编程和渗透上。因为我不想让大家感觉我很恐怖,不想跟大家留下不好的印象。社别人是不道德的,我不是什么危险分子,我也只是一个普通人,寻常到走在大街上你根本不会以为我是搞计算机的。
第一章 黑客与社会工程学
【社会工程学】不论你是老鸟还是菜鸟,社会工程学攻击应该是每一位玩黑的人的必修课。在我看来社会工程学是种综合艺术,其中包括了心理学!很多时候应用的就是心理学。
一名入侵者,在入侵前需要大量收集入侵目标的资料。其中包括目标服务器的信息采集,很多人称之为“踩点”,那么大致包括了服务器所用的OS(操作系统)及其版本,目标服务器提供哪些服务,一般通过查看所开设的端口进行分析,在头脑中组织入侵思路...
那么,知道这些还是不够的,我们需要搜集管理员信息,如姓名、电话、出生日期、身份证号码、女朋友姓名、生日、QQ等等。这是大家都知道的信息采集,可能对于很多人来说这些信息的采集过程是很烦琐,很不容易的一件事,但是当你需要入侵一个较为坚固的服务器,这些搜集就变成了必须。那么搜集后我们干什么呢?你可能会说“组字典,进行分析破解密码。不错,这似乎涉及到了口令攻击...”黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。这里面其实应用的就是社会工程学。
简单来说,社会工程学攻击就是利用人们的心理弱点,骗钱用户的信任,获取机密信息(计算机口令、银行账户信息)等不公开资料,为攻击和病毒感染创造有利条件。
社会工程学是非传统的信息安全,它是一种利用受害者本能反应、好奇心、信任、贪婪等心理陷阱采取诸如欺骗、伤害等危险手段,而不是利用系统漏洞入侵的。所以有的时候,任凭你的硬件防火墙,IDS,虚拟专用网络,杀毒软件等全用上,你制定了精密的安全解决方案,你防护措施做的再好,也会被社工大牛轻易绕过。
为什么?
因为信任是一切安全的基础,而对于保护与审核的信任,通常是整个安全链中最薄弱的环节。
为什么?
因为人才是所有安全措施的最终实施者。
相信大家都看过这本书《欺骗的艺术》,这是凯文.米特尼克写的。虽然书中有很多值得我们借鉴的地方,但是很多西方的东西,特别是社科类的知识,我们不能拿过来生搬硬套。我们要能够创立一套符合我们中国国情的社会工程学理论,在这里我称之为中国特色社会工程学艺术。既然是一门艺术,那么一个社工大师跟一个菜鸟所做到的事情确实完全不一样的。甚至常人认为机会不可能办到的事情,而社工大事去能做到。为了能够学习并掌握这门艺术我将对社会工程学进行一次实践,因此我将这本书名定为《社会工程学实践》。
第二章 入侵网吧的新思路
(见视频教程)
第三章 对社工骗取VIP教程的冷思考
(见视频教程)
第四章 如何成为一名社会工程师
(见视频教程)
第五章 正在更新中......
有人说,为毛最后的电子书跟视频中的讲稿不太一样。
答曰:视频是先放出去供大家批评和指正的,其中不好的地方我会更正,毕竟这是一次社会工程学实践,因此要靠大家和我的共同努力才能完成的。
完整版《社会工程学实践》可在http//itbook.taobao.com 购买
