购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第1节
漏洞思维

在冷血网络的信息安全对抗中,黑客和红客的主要战场,可能要算“漏洞挖掘”了。黑客挖掘漏洞的目的,是要充分利用漏洞来发起进攻,以获取自身利益;红客挖掘漏洞的目的,是要尽早补好相应的“补丁”,确保信息系统的安全运行。从理论上来说,一方面,无论工程师们多么认真负责,他们打造的冷血网络都一定存在各种各样的漏洞;另一方面,无论是什么漏洞,只要能被及时发现,都可以很快找到相应的补救措施,从而挡住黑客的进攻。

既然社工黑客是将人类个体看成“热血电脑”,将人类群体看成“热血网络”,那么挖掘相应的人性漏洞,也是红黑双方信息安全对抗的核心战场,这也是随后几章的主题。与冷血网络一样,每台“热血电脑”和每个“热血网络”,也都存在各种各样的漏洞。但是,与冷血网络不同的是,许多热血漏洞根本无法“打补丁”,因为某些漏洞干脆就是人的本能或潜意识习惯。因此,从漏洞角度看,社工黑客比纯技术黑客处于更有利的地位。换句话说,我们更应该重视如何对抗社工黑客。幸好,社工黑客的攻击,几乎都是循环反馈的“赛博式”攻击。所以,只要在攻击过程中的任何一个环节挡住了黑客,就是成功。总之,针对热血漏洞,虽然无法像冷血系统那样来“打补丁”,但是,如果被攻击者意识到了自己的漏洞,也会有利于后续防范,甚至还可以“将计就计”反击黑客。还有一点,需要特别提醒:千万别藐视“小漏洞”!历史上就曾有一个微不足道的小漏洞(计算机“千年虫”),把全世界搞得鸡犬不宁。人类不但为它付出了沉重的经济代价,而且至今还留有后遗症!所以说,蚁穴虽小,可溃千里长堤。因此,本章和随后几章的漏洞挖掘并不会嫌弃任何小漏洞。

人性漏洞非常多,如果从“热血电脑”模型角度看,有输入漏洞、输出漏洞、处理漏洞和存储漏洞四大类;无论哪类漏洞,只要被黑客成功利用,那么都有可能使“热血电脑”被攻破,最终导致安全问题。

本章全面梳理视觉、听觉等人类感觉方面的漏洞。这些漏洞将与随后几章的其他漏洞一起,组成社工黑客所有无限多种攻击方法的少数有限种“元素”,从而使得看似杂乱无章的社工攻击变得脉络清晰,有利于系统地展开安全防范工作。当然,本章介绍的感觉漏洞,是最易懂、最直观的漏洞,它们属于“热血电脑”输入漏洞中的外部输入漏洞。 vstbUE/gTWzTD9oZHkjl16Kw8OkJ5Bq5sScyz/dczjXteJexlYgb2VZ3//5ewSlP

点击中间区域
呼出菜单
上一章
目录
下一章
×