实例分析：一次利用社会工程学的入侵

《实例分析：一次利用社会工程学的入侵》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、实例分析：一次利用社会工程学的入侵～教育资源库　　看到这个题目可能很多人感到奇怪:黑客不是都在埋头学Perl、溢出、SQL注入?怎么又来了一个社会工程学?　　下面我们就来聊一下社会工程学入侵:　　当然，社会工程学的原本意思我就不详细解释了，因为我看了很久都没有看出是什么意思来，枯燥的厉害，是架着眼镜的老先生研究的问题，我们不去考虑。我们说的是社会工程学在信息安全方面的实现。　　基本的意思就是:利用一切途径、手段，搜集攻击目标的资料，然后利用已知资料攻陷对方。比如某某网站的站长在他那里发表了很多不利于我的言论，要是他在我面前，我立刻会扑上去

2、咬死他(好在不在我面前，呵呵)，但是我却是一个技术菜鸟，什么注入、溢出、脚本之类的一点也不懂，怎么办?就此罢休?当然不!下面就看我是如何搞定一个网站的。OK，Letsgo!　　首先打开我要攻击的网站，首先看看各个页面，浏览一下。就好比小偷在下手之前要先查看一下身边的地形、人群一样，就是踩点了。首页做的不怎么样，有个新闻系统，点一条新闻之后弹出页面，看了就很熟悉。在.target.nein进入管理目录看看，因为很多管理系统这个都是默认的管理目录。结果无法显示，又用admin.asp和login.asp这两个使用频率很高的文件，也无法显示。结

3、果一看浏览器的标题栏，赫然写着业一新闻系统2.9增强版!好像网上比较多哦。下载一个看看!　　立刻上.baidu.搜索一下业一新闻系统2.9增强版。找到了用这个做新闻系统的，但是没有找到这个的下载，但是找到了他们的官方网站，于是下载了一个业一新闻系统2.9专业版，应该都差不多吧。　　有个安装说明，打开看看(图1):　　上面的三处地方:　　A、我们知道了后台管理的文件是m_login.asp，为进入后台奠定第一步，否则即时有管理员权限也没有地方管理J　　B、默认的用户名和密码，这年头真的有人不修改就直接用的，我以前曾经用默认用户名和密码黑过不

4、少留言本和其它类似的系统。　　C、默认的数据库名称nedb，是Access的数据库，在浏览器可以直接下载的。　　现在我们开始第一步，进入.target.ne_login.asp，显示出要管理员登陆的界面。用默认的用户名admin、密码admin看看，提示错误。然后呢?在之后就可以看所有用户的详细资料了。　　黑了人家这么多子站，当然明白站长是哪个了吧?找到他的资料，什么、、ICQ、生日之类的都记下，猜解密码的时候可能用上哦。看好了这些东西我回头继续猜密码，连续猜了几次不中，考虑可能这条路不对。于是回到同学录首页，突然看到了我忘记密码了这个按

5、钮，相信大家都很熟悉吧?电子信箱、论坛上面都有这么个东东的。　　点击之后要我输入用户名，这个简单，输入刚才找到的管理员的用户名就可以了，下一步之后出现提示，要输入问题的答案。他的问题是Q+T，怪怪的哦，我有风险?在这里注册的n多会员，密码就都在我控制之下了。我尝试了一下，很多都是信箱和共用一个密码的!　　好了，写到这里，这次入侵也算完成了。不知道你看过之后有什么收获?　　其实入侵一个网站往往不像我们想象的那么难，只要你心足够细，很多网站都可以被入侵的，特别是一些个人网站。我在学校网页制作大赛的时候，就在获奖的作品里面找到了两个网站黑了，思

6、路和这个一样，确切的说只要下载数据库就可以了。更何况，现在一些搜索引擎都可以搜索.mdb的数据库，这样以来入侵就更加简单。　　其实还有很多更高深的社会工程学手段。比如你想黑掉某个网站，你可以伪造邮件，获得相关人员的信任，然后练习一回口技，捏鼻子打之类总之，社会工程学入侵涉及到方方面面。上一页12友情提醒：，特别！