社会工程 安全体系中的人性漏洞[Social engineering:the art of human hacking]pdf

社会工程 安全体系中的人性漏洞[Social engineering:the art of human hacking] 内容简介

《社会工程：安全体系中的人性漏洞》首次从技术层面剖析和解密社会工程手法，从攻击者的视角详细介绍了社会工程的所有方面，包括诱导、伪装、心理影响和人际操纵等，并通过凯文·米特尼克等社会工程大师的真实故事和案例加以阐释，探讨了社会工程的奥秘。主要内容包括黑客、间谍和骗子所使用的欺骗手法，以及防止社会工程威胁的关键步骤。

《社会工程：安全体系中的人性漏洞》适用于社会工程师、对社会工程及信息安全感兴趣的人。

社会工程 安全体系中的人性漏洞[Social engineering:the art of human hacking] 目录

第1章 社会工程学初探

1.1 为何本书很重要

1.1.1 本书框架

1.1.2 本书内容

1.2 社会工程概述

1.2.1 社会工程及其定位

1.2.2 社会工程人员的类型

1.2.3 社会工程的框架及其使用方法

1.3 小结

第2章 信息收集

2.1 收集信息

2.1.1 使用BasKet

2.1.2 使用Dradis

2.1.3 像社会工程人员一样思考

2.2 信息源

2.2.1 从网站上收集信息

2.2.2 运用观察的力量

2.2.3 垃圾堆里找信息

2.2.4 运用分析软件

2.3 交流模型

2.3.1 交流模型及其根源

2.3.2 制定交流模型

2.4 交流模型的力量

第3章 诱导

3.1 诱导的含义

3.2 诱导的目的

3.2.1 铺垫

3.2.2 成为成功的诱导者

3.2.3 提问的学问

3.3 精通诱导

3.4 小结

第4章 伪装：如何成为任何人

4.1 什么是伪装

4.2 伪装的原则和计划阶段

4.2.1 调查越充分，成功的几率越大

4.2.2 植入个人爱好会提高成功率

4.2.3 练习方言或者表达方式

4.2.4 使用电话不会减少社会工程人员投入的精力

4.2.5 伪装越简单，成功率越高

4.2.6 伪装必须显得自然

4.2.7 为目标提供逻辑结论或下一步安排

4.3 成功的伪装

4.3.1 案例1：斯坦利·马克·瑞夫金

4.3.2 案例2：惠普

4.3.3 遵纪守法

4.3.4 其他伪装工具

4.4 小结

第5章 心理战术：社会工程心理学

5.1 思维模式

5.1.1 感官

5.1.2 3种主要的思维模式

5.2 微表情

5.2.1 愤怒

5.2.2 厌恶

5.2.3 轻蔑

5.2.4 恐惧

5.2.5 惊讶

5.2.6 悲伤

5.2.7 快乐

5.2.8 训练自己识别微表情

5.2.9 社会工程人员如何运用微表情

5.3 神经语言程序学

5.3.1 神经语言程序学的历史

5.3.2 神经语言程序学的准则

5.3.3 社会工程人员如何应用NLP

5.4 采访和审讯

5.4.1 专业的审讯技巧

5.4.2 手势

5.4.3 双臂和手的摆放

5.4.4 聆听：通往成功之门

5.5 即刻达成共识

5.5.1 真正地想要了解他人

5.5.2 注意自身形象

5.5.3 善于聆听

5.5.4 留心自己对他人的影响

5.5.5 尽量少谈论自己

5.5.6 谨记：同情心是达成共识的关键

5.5.7 扩大知识领域

5.5.8 挖掘你的好奇心

5.5.9 设法满足他人的需求

5.5.10 使用其他建立共识的技巧

5.5.11 测试“共识”

5.6 人类思维缓冲区溢出

5.6.1 设定最基本的原则

5.6.2 人性操作系统的模糊测试

5.6.3 嵌入式指令的规则

5.7 小结

第6章 影响：说服的力量

6.1 影响和说服的5项基本原则

6.1.1 心中有明确的目标

6.1.2 共识、共识、共识

6.1.3 保持自身和环境一致

6.1.4 不要疯狂，要灵活应变

6.1.5 内省

6.2 影响战术

6.2.1 回报

6.2.2 义务

6.2.3 让步

6.2.4 稀缺

6.2.5 权威

6.2.6 承诺和一致性

6.2.7 喜欢

6.2.8 共识或社会认同

6.3 改动现实：框架

6.3.1 政治活动

6.3.2 在日常生活中使用框架

6.3.3 框架联盟的4种类型

6.3.4 社会工程人员如何利用框架战术

6.4 操纵：控制你的目标

6.4.1 召回还是不召回

6.4.2 焦虑的最终治愈

6.4.3 你不能让我买那个

6.4.4 令目标积极地响应

6.4.5 操纵激励

6.5 社会工程中的操纵

6.5.1 提高目标的暗示感受性

6.5.2 控制目标的环境

6.5.3 迫使目标重新评估

6.5.4 让目标感到无能为力

6.5.5 给予非肉体惩罚

6.5.6 威胁目标

6.5.7 使用积极的操纵

6.6 小结

第7章 社会工程工具

7.1 物理工具

7.1.1 开锁器

7.1.2 摄像机和录音设备

7.1.3 使用GPS跟踪器

7.2 在线信息收集工具

7.2.1 Maltego

7.2.2 社会工程人员工具包

7.2.3 基于电话的工具

7.2.4 密码分析工具

7.3 小结

第8章 案例研究：剖析社会工程人员

8.1 米特尼克案例1：攻击DMV

8.1.1 目标

8.1.2 故事

8.1.3 社会工程框架的运用

8.2 米特尼克案例2：攻击美国社会保障局

8.2.1 目标

8.2.2 故事

8.2.3 社会工程框架的运用

8.3 海德纳吉案例1：自负的CEO

8.3.1 目标

8.3.2 故事

8.3.3 社会工程框架的运用

8.4 海德纳吉案例2：主题乐园丑闻

8.4.1 目标

8.4.2 故事

8.4.3 社会工程框架的运用

8.5 最高机密案例1：不可能的使命

8.5.1 目标

8.5.2 故事

8.5.3 社会工程框架的运用

8.6 最高机密案例2：对黑客的社会工程

8.6.1 目标

8.6.2 故事

8.6.3 社会工程框架的运用

8.7 案例学习的重要性

8.8 小结

第9章 预防和补救

9.1 学会识别社会工程攻击

9.2 创建具有个人安全意识的文化

9.3 充分认识信息的价值

9.4 及时更新软件

9.5 编制参考指南

9.6 学习社会工程审计案例

9.6.1 理解什么是社会安全审计

9.6.2 设立审计目标

9.6.3 审计中的可为与不可为

9.6.4 挑选最好的审计人员

9.7 总结

9.7.1 社会工程并非总是消极的

9.7.2 收集与组织信息的重要性

9.7.3 谨慎用词

9.7.4 巧妙伪装

9.7.5 练习解读表情

9.7.6 操纵与影响

9.7.7 警惕恶意策略

9.7.8 利用你的恐惧

9.8 小结

社会工程 安全体系中的人性漏洞[Social engineering:the art of human hacking] 精彩文摘

2.1 收集信息

收集信息就如同盖房子一般。如果想从房顶盖起，肯定是必败无疑。一栋坚固的房子必定是在打下坚实的地基后，从地面往上盖的。收集信息时不要总想着怎么组织和运用这些数据，创建一个文件或信息收集服务来收集信息才是当务之急。

事实上，有很多工具可以帮助我们收集和运用这些数据。在渗透测试和社会工程审计中，我使用Linux BackTrack发行版，BackTrack是专为这一目的而设计的。BackTrack和大部分Linux发行版一样，是免费、开源的，也许它最大的优点便是集成了300多款安全审计工具。