Социальная инженерия в тестировании на проникновение web приложений

[Skyment]

Хороший материал для интересующихся:

Цитата:

Социальная инженерия в тестировании на проникновение web приложений.

Статья написана с целью заполнения у многих пробелов в данном векторе. Эта статья послужит не только хорошим методическим материалом, но и поможет вам не попадаться на уловки злоумышленников.
Прошу обратить ваше внимание на то, что все совпадения случайны! Все имена и фамилии были придуманы авторами статьи для хорошего объяснения материала.
Заранее благодарю за уделенное внимание.



Что первым приходит на ум, когда речь идет о социальной инженерии?

Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его деяния, кто-то, возможно, подумал о фишинговых атаках, а кто-то, и вовсе не думал.

Так что же такое социальная инженерия на деле?

Не стоит прибегать к определениям со сложными и не понятными словами. Достаточно просто подумать. Это всего-то манипуляция поведением человека методом воздействия на него какими-либо внешними факторами, которые мы же сами и, так сказать, устанавливаем.

Иными словами, мы производим психологическое воздействие на человека с целью управления его действиями (поведением, настроением). Наверняка, с социальной инженерией вам приходилось столкнутся лицом к лицу, и не раз.

Частыми ошибками новичков, желающих владеть социальной инженерией - отсутствие практики. Многие, первым же делом закупаются книгами по психологии и пытаются вдуматься во все что там написано.

Так вот, огромного эффекта от этого не будет. Я бы даже сказал, никакого.

Все из-за отсутствия стержня и практической подготовки. Знайте, что социальная инженерия - это сплошная практика. Вы даже не сможете, например, стать продавцом консультантом из соседнего магазина и выведать у Ирки из “пятерочки”, когда Борисыч заходил прикупить себе успокоительного, если до этого не имели необходимой практики. Возможно, в таком варианте сложившихся событий у вас что-то еще выйдет. Но вот что делать с прошаренным владельцем тестируемого веб приложения? Об этом мы и поговорим далее.



Перед тем, как начать наше взаимодействие с человеком, нам необходимо собрать о нем как можно больше информации. В качестве-необходимой информации, мы возьмем
Прежде всего возраст
Вид деятельности
Интересы
Любимая музыка, фильм или любое другое увлечение в виде искусства.
Если же речь идет, как мы уже предположили ранее, об администраторе или сотруднике какого-либо веб ресурса/компании то к вышеописанному добавляется еще и
Деятельность компании / цели веб ресурса.
В этом пункте, вам необходимо выяснить, чем занимается исследуемая вами компания, дабы потом подтянуть свои знания в направлении их деятельности и не растеряться при общении с одним из его сотрудников.
Вторым наиболее важным пунктом, является сбор информации о самих сотрудниках компании. Сюда входят, как e-mail адреса работников, так и их аккаунты в социальных сетях. То есть нам будут необходимы любые средства связи и источники информации о целевом объекте.
Думаю, для начала, такой информации нам будет предостаточно. Конечно, с течением времени нам будет необходима любая информация, какая только будет получена. Даже если такая информация может вам показаться бесполезной, помните, что в скором, вам еще собирать кусочки пазла.

Полезные источники информации:

...

Дальше копать тут: https://codeby.net/threads/se-social...ozhenij.65529/