武汉软件测试培训
达内武汉中心

15827352908

热门课程

四个社交工程渗透测试技巧

  • 时间:2017-11-09 10:52
  • 发布:武汉达内
  • 来源:武汉达内

    软件测试需要的是技巧,本文讲一下社交工程不可不知的四个渗透测试技巧。

    第一、钓鱼攻击测试。
    渗透测试中,大多数钓鱼邮件的目的只是诱导用户点击某个东西,然后记录下这一行为或是为稍后更大规模的渗透测试安装一个程序。这之后,就可以利用客户端软件的某个特定漏洞,如浏览器和动态内容/媒体插件和软件。
    成功实施钓鱼攻击的关键是个性化!向目标用户发送特制邮件,如从受信任的邮箱地址发出此邮件,可以增加用户阅读该邮件或是遵照邮件提示操作的几率。一名好的渗透测试员一般都会仔细检查邮件中的拼写和语法错误;一封内容比较少的邮件,如果措辞得体,可能会让人觉得更具可信度。

    第二、假托测试。
    渗透测试中,这种技巧适用于能提供有用信息的非技术型用户。
    最佳策略是提出一些小要求,并给出企业中一些真实员工的名字。在假托对话中,渗透测试员会解释称需要目标对象的帮助。一旦双方创建友好关系,渗透测试员便会伺机套取更多信息。
    在实施假托之前的侦查需要使用谷歌和Paterva Maltego等工具,这些侦查可以提供必要的背景信息。类似SpoofCard和SpoofApp这种电话代理工具以及Asterisk PBX插件可以隐藏渗透测试员的电话号码,甚至是使显示的号码看似来自某个企业。

    第三、介质投放测试。
    介质投放通常是指放在某个显眼位置的USB闪存设备,如停车场或者建筑入口处。社工在闪存设备上存放了一些非常有趣的文件,而一旦这个闪存被打开便会在客户端发起某种攻击。
    Metasploit是可用于创建此类文件的一款免费工具,它带有内置恶意负载生成器。SET中的“传染型介质生成器”选项虽然也可以利用Metasploit,但是却有助于进程自动化。SET可以创建“合法的”可执行文件。目标电脑启用自动运行时就会自动执行这个文件。自动执行技巧和有趣文件相结合可以增加攻击成功的几率。

    第四、追尾测试。
    追尾是指通过强迫或愚弄的方式进入物理设备。通常,这类测试所关注的问题是证明渗透测试员可以绕过物理安全防御。
    渗透测试员应该计划好获取敏感数据或是快速安装设备以证明自己成功渗透,因为在他们离开设备前所能利用的时间很短。渗透测试员可以将打印机或者桌上暴露的信息拍照,抑或是安装一个渗透测试盒来提供wifi或3G网络以便渗透员回访。
    以上四种渗透测试技巧是社交工程的基础,希望大家能够活学活用,不断提高自身的测试能力。
上一篇:企业ERP管理软件功能测试技术讲解
下一篇:关于EIAC测试的经验总结

十大较具“钱景”职业 软件测试较火

软件测试的起源

软件测试的发展

软件测试行的现状

选择城市和中心
贵州省

广西省

海南省

有位老师想和您聊一聊