按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
步骤03双击其中任意一个数据连接,即可打开【文件下载…安全警告】对话框。单击【保存】按钮,即可下载该数据库文件。在使用数据库浏览工具打开数据库文件之后,即可得到管理员用户名与密码。
步骤04如果网站管理员对数据库进行的改名,但隐藏不深,则同样可以使用“挖掘鸡”搜索到数据库。切换到【后缀】选项卡,在列表框中勾选“敏感信息”子选项中的“暴库”复选框。
步骤05单击【开始】按钮,同样可以找到该数据库的链接地址。
步骤06右击其中一个数据库的链接地址,在弹出的快捷菜单中选择【ie浏览】菜单项,使用浏览器打开该链接地址。若打开无效,将//。***。/inc/conn。asp链接地址改为//。***。/inc%5cconn。asp,一般可以在页面是返回数据库的地址。
3.网站数据库安全防范措施
若网站管理员发现网站中存在这样的数据库漏洞,为了避免黑客对网站进行攻击,可采取下面的措施提高网站数据库的安全性。
●为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下,这样数据库的名称及存储路径就不容易被猜到。这是防止数据库被找到的最简便方法。
●不要使用默认的数据库路径,否则将可能产生严重的安全问题。
●为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。一般情况,在设计网站时都要求用户注册成功后才可登录。
●如果可能,可将数据库文件后缀改名为。asp,从而避免网页浏览器的浏览和下载。
●网站管理员要经常对自己的网站进行安全测试,及时更新各种漏洞,让网站更安全。
●删除前台的程序名称,只需使用记事本打开网站的index。htm等首页文件,将搜索到的程序名称文字删除即可。网站管理员一定不要贪图省事,忽略这些操作,否则将会对网站的安全造成严重的威胁。
第五章 专家课堂(常见问题与解答)
点拨1:为了防止黑客入侵,感染病毒,计算机用户平时应注意哪些问题?
解答:网络上的木马和病毒越来越猖狂,为了保证计算机的安全,一般的计算机用户应注意如下几个方面。
●上网时一定要安装防病毒软件并及时升级,以保护杀毒软件的病毒库是最新的。
●至少安装一个防火墙,ADSL用户最好用路由方式上网,改掉默认密码。
●设置安全级别,关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据,它们记录下用户的特定信息,因而当用户回到这个页面上时,这些信息就可以被重新利用。
●不要随便下载软件,特别是不可靠的FTP站点。即使要下载,也要在下载前用软件查杀一下,如迅雷自带的杀毒软件。
●要经常对自己的电脑进行漏洞扫描,并安装补丁。Windows用户最好将系统设为自动升级。
●常用TCPView查看自己电脑的IP连接,防止反弹型木马。
●UDP协议是不可靠传输,没有状态,从TCPView中很难看出它是不是在传输数据,我们还可以使用IRIS、Sniffer这类的协议分析工具看看是不是有UDP的数据。
●保持警惕性,不要轻易相信熟人发来的E…mail就一定没有黑客程序,如Happy99就会自动加在E…mail附件当中。
●不要将重要口令和资料存放在上网的电脑里。
点拨2:运行网络嗅探器,出现网络适配器设置错误是怎么回事?
解答:网络嗅探器是SNIFFER等对网络抓包和分析的软件,它是基于网卡的MAC地址进入的流量来分析的,而网络适配器是你网卡的驱动程序。如果运行网络嗅探器,网络适配器没有启动,或启动错误,则可能是因为网卡驱动没安装,也可能是网络嗅探器软件安装错误或出现故障。
第一章 信息搜集与套取
对于黑客们来说,信息搜集是他们非常感兴趣的一个话题。因为他们知道,要想成功地攻击对方,必须知道目标的相关信息。不论是传统的系统入侵还是现在流行的社会工程学攻击,获取对方的敏感信息都是他们进行攻击前需要做的准备工作。
5。1。1冒称与利用权威身份
其实,社会工程学师惯用的那些信息搜集方法与技巧都很简单,只要我们有耐心,能够坚持不懈,就会很快绕过物理层的安全直接向某个员工获取敏感信息。他们之所以费尽心思地想要知道对方的信息(此类信息指的是规章、制度、方法、约定规章,即一个行业的规章,我们可以认为是行规,或是内部约定),是为了处理突发事件。
比如,商家A为了抢掉商家B的生意,故意低压低价格来垄断是不对,违反了不正当经营法。所以,我们要尽量了解各行各业的之间的此类信息,比如校园,只有领导层内的人员才会拥有一份全校的师生的联系名单,服务行业通常有这样和那样的内部约定,了解此类信息对我们非常有利。
而黑客们为了寻找信息,经常会冒充一个权利很大或是重要的人物的身份打电话从其他用户那里获得信息。例如,你可以模仿老师的声音打电话给你父母,告知今天放假不用上课,大多数父母都会相信。
利用虚假身份获取信息是非常有用的,甚至可以使用权威身份直接索取信息,那些企业一般不会去怀疑其真实性。就目前而言,社会工程学师的惯用权威身份是记者(电视台、报刊、杂志等)、政府人员、调查机构,更深入获取信息的身份多是冒称内部人员或客户等。
一般机构的咨询台(或前台)最容易成为这类攻击的目标,黑客可以伪装成是从该机构的内部打电话来欺骗前台人员或是公司的管理员。
咨询台之所以容易受到社会工程学的攻击是因为他们所处的位置就是为他人提供帮助的,因此,非常有可能被人利用来获取非法信息。咨询台人员一般接受的训练都是要求他们待人友善并能够提供别人所需要的信息,因此,就成为了社会工程学家们的金矿。大多数的咨询台人员所接受的安全领域的培训与教育很少,这就造成了很大的安全隐患。
5。1。2从垃圾桶中翻查信息
垃圾搜寻是另一种流行的社会工程学攻击方式。不论是哪一家公司,总会周期性地将废弃的文件与材料进行报废处理,通常在大楼不远处设置垃圾堆放放空间,以便垃圾运送车拖走作销毁处理。垃圾中废弃的打印文件多数是老旧文档,对公司来说可能已无实质性帮助,但是这些老旧的资料却泄露了企业的运营情况。
这些信息在垃圾桶中是潜在的安全隐患,如公司电话簿、会议日历、组织图、时间和节假日、备忘录、公司保险手册、系统手册、打印出的敏感数据或者登陆名和密码、打印出的源代码、磁盘、磁带、公司信签,还有淘汰的硬件等。对黑客来说,这些资源是提供丰富信息的宝藏。
黑客可以从公司电话簿上了解到员工的名字和电话号码,来确定目标或模仿对象;而从会议日历上,他们或许可以给黑客提供某一雇员在那个特殊的时间出差的信息;组织图包含在组织内谁是当权者的信息;备忘录里有增加可信度的小信息;规定手册向黑客展示该公司真正的有多安全(或者不安全);系统手册,敏感数据或者其他技术信息资源也许能够给黑客提供打开公司网络的准确秘匙;淘汰的硬件,特别是硬盘,能够通过技术恢复数据并提供各种各样的有用信息。这些都方便了社会工程学师做前期的信息收集及对策,有助于了解各部门的分布与主要负责人,使得黑客们清晰地了解想要的信息在哪里,以及应给谁打电话。
下面引用“2001年宝洁公司和联合利华公司之间爆发的情报纠纷事件”,该事件就是利用“垃圾堆”进行窃密的。
当时,面对主要竞争对手联合利华的强烈质疑,宝洁公司公开承认,该公司员工通过不符合公司规定的途径获取了对手联合利华公司的有关护发产品的资料,但宝洁否认其行为是违法的。宝洁公司承认曾雇用了一家公司进行商业间谍活动,包括从其它公司的“垃圾堆”中获取信息。在这个过程中,宝洁雇用的间谍向联合利华的员工谎称是市场分析员。事后,宝洁公司归还了80份文件给联合利华公司,其中包括从“垃圾堆”中获得的信息。
因此,对于公司的重要文件,为了防止对手从“垃圾桶”中翻查到有用的信息,最好将这些无用的文件用粉碎机进行粉碎,以绝后患。
5。1。3巧设人为陷阱套取信息
社会工程学师为了收集到有用的信息,并不是单纯地拨打电话套取信息,他们往往会制造出各种各样“逼真”的事件,让对方相信,使他们在毫无察觉的情况下掉入社会工程学设置的陷阱中。
1.寻找企业内部的矛盾
一直以来,企业内部的矛盾在各个企业中都是时常出现的。企业在推行高度利润化的同时,常常忽视了内部所导致的尖锐矛盾,这给企业带来很大的损失。例如,2006年美国可口可乐总公司一名行政助理,涉嫌串同另外两人,偷取可口可乐一种新饮品的样本及机密文件,企图出售给百事可乐。但百事可乐收到消息后立刻联络可口可乐公司,联邦调查局拘捕三人,控以诈骗、偷窃和售卖商业秘密,这才阻止了可口可乐公司机密资料的泄露。可想而知,如果这次交易成功的话,将会对可口可乐公司造成多大的损失。
对于内部不满的员工,他们要么想跳槽,要么想向他人吐苦水发泄不满。对于这类员工,企业应该尽量防止出现。因为这类人群最容易被商业间谍利用,而不仅仅是社会工程学师冒称某大公司的人力资源部拨出的电话。即使这类员工被企业炒掉,但也不能保证他们是否会在离开的时候把公司的机密资料携带出去。
近年来,来自于企业内部的威胁所带来的损失开始不断在网络上或报刊上出来。公司为了防止网络安全漏洞的出现,购买了大批的安全设备,但这些设备无法防止内部的安全漏洞的产生。虽然一些公司为了防止机密、核心技术被泄露,在与员工签署劳动合同时,往往会要求员工签定保密协议,禁止其进入对手公司,但这并不能从根本上保证信息不泄露。
要解决这些问题,关键在于公司管理层。管理者不要只幻想用一纸规章制度使员工对公司保持忠诚,而是要组织成员之间加强信息交流,增进彼此之间的信任、认同,甚至相互吸引建立感情,讨论解决问题的方法。
2.制造拒绝服务的陷阱
通常社会工程学师为了获取信息,往往是谎称系统出现问题,要求提供口令文档等信息。但这种伎俩使用的次数多了,就不管用了,受害者会提高警惕,避免再在同样的问题上上当。因此,一些高明的社会工程学师就通过设置陷阱来掌握获取信息的主动权。
首先,为了获取员工的信任,社会工程学师谎称是公司的内部人员,并报出专业术语,然后他们会制造各种棘手的问题,如打电话到网络中心的技术维护部请其暂时中断网络,造成网络故障;或向员工的电子邮件发送大量的垃圾邮件,并谎称是遭到黑客的攻击。
这时,这位员工可能就会四处求助解决这些问题,而社会工程学师就可以大摇大摆地站出来帮助员工解决这些“问题”,从而顺利地套取他们想要的信息,并且不会受到员工的质疑。
第二章 商业窃密手段一览
商业机密对企业的生存、发展至关重要,它是市场经济发展的产物,是知识产权的重要组成部分,也是企业重要的无形资产,对企业在市场竞争中的生存和发展有着重要影响。企业不仅需要了解如何加强商业机密安全保护措施,还需要了解相关的窃密技术手段,并对员工进行培训,做到“知己知彼,百战不殆”,将损失的威胁降至最低。
5。2。1貌似可靠的信息调查表格
信息调查表格与市场上常见的调查问卷类似,是调查者根据一定的调查目的精心设计的一份调查表格,是现代社会用于收集资料的一种最为普遍的工具。它并不神秘,只是起到了信息的存储、查询、组织分类作用。
如果自己清楚地知道获取的信息是什么,且有过人的记忆力,那么表格可能没有什么作用。但如果自己很茫然、无从组织信息,则信息调查表格将会帮助自己分析数据、确定目标与计划,或帮助自己了解调查对象(员工或市场)的基本情况,对自己大有裨益。
下面介绍的两种表格,分别是调查问卷表和个人基本信息表。这两种信息调查表格在日常生活中都是经常遇到的。当我们走在路上时,可能会有人拿来这种表格让我们帮忙填写,并告知他们是某公司的职员,为了公司的产品销售,需要做一些调查。
大多数人在遇到这种情况,可能会出于礼貌或经不住他们的纠缠去填写这种表格,认为不会有什么问题。其实,有时一些不怀好意的人也会假装是某公司的职员,冒称要做市场问卷,希望路人帮忙配合填写表格,但却利用这些信息做其它危害个人及社会的事情。
5。2。2手机窃听技术
当今,窃听技术已在许多国家的官方机构、社会集团乃至个人之间广泛使用,成为获取情报的一种重要手段。窃听设备不断翻新,手段五花八门。手机窃听技术就是其中一种,它并不是一种新技术,也并不是那么难以实现。
也许在中国电话窃听还并不是非常流行,但在西方发达国家,商业窃听是存在且流行的。同样,窃听技术也是每个社会工程学师与生俱来就热衷的。窃听电话用得比较多的是落入式电话窃听器。这种窃听器可以当作标准送话器使用,用户察觉不出任何异常。它的电源取自电话线,并以电话线作天线,当用户拿起话机通话时,它就将通话内容用无线电波传输给在几百米外窃听的接收机。这种窃听器安装非常方便,从取下正常的送话器到换上窃听器,只要几十秒钟时间。可以以检修电话为名,潜入用户室内安上或卸下这种窃听器。
这里只简单介绍常见的窃听方式,对于高科技的窃听技术,读者可以根据自己的兴趣查阅相关信息。一般对于普通人来说,要监听对方的谈论信息,需要做好如下准备工作:
●准备一部质量较好的手机,并确定手机信号处于良好状态。在将要监听的房间中检查是否有对信号造成干扰的物体,如音箱等。
●手机中都有“情景模式”这个菜单,将其设置为“会议模式”,以确保手机不会发出任何声音及震动。如果没有“会议模式”,可将手机中所有出现“铃声”和“震动”的设置关闭,使其不会发出任何声音。
●将手机中“通话设置”菜单中的“自动应答”功能开启,再将手机放到房间中的隐蔽位置,如会议桌下、天花板上,以免被发现。
完成这些准备工作后,即可开始等待对方进入放置监听手机的房间,接下来可用另外一部手机拨通这部手机,开始监听对方的谈话内容了。
5。2。3智能手机窃密技巧
关于手机的安全问题,我们都有切身体会,比如说垃圾信息、电话骚扰、手机病毒、流氓软件、间谍软件、手机隐私保护等。但随着智能手机的出现,又出现了一个新的问题,即手机窃密。
利用智能手机进行窃密更为常见,且防不胜防。智能手机中通常装有操作系统,如常见的PalmOS、Symbian、WindowsCE和Linux手机操作系统。因此,我们可以像电脑一样,在手机中安装应用软件。这样,进行窃密的人就可以在手机中安装窃密软件,像在别人的电脑中安装特洛伊木马进行任意控制一样。至于安装的窃密软件,我们可以通过一些渠道获得,当然,一些智能手机生产厂家也会提供这一“窃密”手段。
目前,手机窃密技术不但可以窥探语音图像信息,还可以确定机主位置。一些功能强大的窃密软件还能够监控用户的话费、控制用户的GPRS流量费用、远程实时通过手机监听监控等。但总的来说,一般手机有如下三种窃听方式:
●复制SIM卡
手机黑客利用SIM卡烧录器复制克隆指定的SIM卡,盗打或接听他人电话。这种方式比较简单且易操作,但由于容易被对方察觉,现在用的人很少。
●芯片式窃听器
芯片式窃听器是目前监听市场内比较常见的类型,它根据有效距离分为三五米至几百公里等很多类型和级别。芯片一般为两部分,一部分装入被窃听人的手机听筒里,一部分装入窃听者的手机内部。无论被窃听者拨打或接听电话,窃听者的手机都会有相应的提示音。如果窃听者愿意窃听就可以听到谈话内容,有录音功能的手机还可将谈话内容录下。
●大型的移动电话监听系统
这种监听系统一般运用在间谍活动中,与上面提