关于社工FUZZ

作者:刺
来源:幻影maillist

其实社工FUZZ也是可能的

而且我想我的方法还是比较科学和可行的

按照安全开发流程(SDL)里的方法,在一个环节中是要建立威胁模型(Threat Modeling)

其基本思路是找出所有系统的边界

然后根据边界(Border)和数据流向(Data Flow)分析攻击范围(Attack Surface)

这样就有一个比较清晰的思路;

在社工FUZZ中,可以分析目标的所有对外的边界(比如HR、销售、公司高管、技术人员、客服、财务 各人员节点对外业务)

然后建立这些人员节点之间的数据联系,以及可能的业务;(比如HR可能会找猎头公司买资料,可能会参加校园招聘,可能会有机会接触到其电脑)

根据业务逻辑,可以确定出 Attack Surface(比如攻击HR的途径、 攻击客服的途径);

建立Attack Surface表后,可以根据每种业务接触的难易程度来建立一个FUZZ矩阵(Matrix)

矩阵建立后,就可以开始FUZZ 了;

FUZZ的时候,要注意先后顺序,不能够引起对方警惕,所以在Matrix里,还有加入节点之间相互关联的内容;

在具体FUZZ的时候,可以使用一些程序来辅助,比如批量发送email,短信、等等; 或者比较高级的就是打电话、直接联系等

相关日志

发表评论