網站安全防護對社會工程學攻擊進行剖析

社會工程學和前端安全。古典的社會工程學攻擊案例：社會工程師利用人們的好奇心，或者貪圖便宜的心理，讓某人撿起不小心丟下的USB，在好奇心的驅使下，該人將該USB插入自己的計算機，開啟帶後門的PDF檔案，在不知不覺中給該人的計算機中上了木馬。回顧上一章前端安全中重點介紹的XSS技術，如果使目標開啟特定u盤的檔案有點困難，開啟連結就會變得簡單，如何使目標開啟攻擊者結構的惡意連結，需要社會工程學的協助，最有效的方法是傳送讓目標感興趣的郵件當然，不僅僅是XSS，社會工程學還可以配合釣魚攻擊、CSRF等其他先進技術。

社會工程學和滲透測試。社會工程學協助滲透測試的例子數不勝數，滲透某個網站遇到困難時，給網站的呼叫人員打電話，往往能解決很多問題。此外，許多伺服器的登入密碼與該伺服器的管理者有關，密碼總是有個人痕跡，因此利用社會工程學獲得伺服器管理者的資訊後，進行伺服器滲透測試要簡單得多，如果想要對自己伺服器或網站進行詳細的滲透測試服務的話，國內如SINESAFE,鷹盾安全，綠盟，啟明星辰，大樹安全，都是安全方面的安全技術公司。

社會工程學和無線攻擊。有以下例子:某攻擊者想要獲得某個程式的原始碼，他做了一系列的準備活動——獲得咖啡店的無線路由器密碼，控制在目標附近的照相機，然後將目標(原始碼所有者)約定在咖啡店，通過照相機捕獲被攻擊者行動的影像資訊，之後的事情很難想象。這個例子在本章之前有詳細的恢復過程，讀者可以帶著社會工程學的想法複習，考慮能做什麼，應該怎樣預防。

防禦和減輕社會工程學攻擊的第一步是瞭解攻擊，從攻擊者的角度出發，全面瞭解防禦。社會工程學是人與人接觸的藝術，但這並不意味著所有與你接觸的人都是攻擊者，保持適當的警惕，學會識別社會工程學的攻擊，是不影響生活的同時防禦社會工程學攻擊的最好方法。