网络安全实验1 敏感信息搜集与密码心理分析
赞赏码 & 联系方式 & 个人闲话
【实验名称】敏感信息搜集与密码心理分析
【实验目的】
1.理解社会工程学的概念,掌握获取敏感信息的方法
2.提高自我信息保护的意识和方法
3.理解密码心理学的概念、密码特征分析
4.掌握黑客猜解密码的切入方法、如何提高密码强壮性
【实验原理】
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法。它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样可能会被高明的社会工程学手段损害利益。
密码心理学就是从用户的心理入手,分析对方心理,从而更快的破解出密码。掌握好密码心理学可以缩短破解时间,快速获得用户信息。
密码本身的保密性是来源于其随机性,整个密码的被猜中概率(P)是多个密码特征概率的乘积,只有所有密码特征概率(Pi|i=1,2,3,……n)都处在一个较低的水平上时,整个密码才是安全的。可以用公式表达成:
P(c)=P1×P2×P3×……×Pn
我们可以看出,当特征数量增多时(即n比较大),密码的安全性也较高。
【实验内容】
敏感信息搜集
由于对实验环境的限制,本实验不能进行实验步骤上的设计,故举出一个通过在互联网上使用信息搜集的方法来获取某人敏感信息的过程。
开始进行信息搜集,具体过程如下:
(1)查看并分析目标个人资料,参见下图:
可以获取有可利用价值的信息包括:
表1-1-1
可能具有利用价值的信息 |
|
性别 |
男 |
生日 |
6月21日 |
血型 |
B型 |
生肖 |
兔 |
星座 |
双子座 |
省份 |
山东 |
城市 |
泰安 |
(2)访问其QQ空间,除照片外,并未发现有价值信息,参见下图:
(3)查看其留言板现实中朋友,参见下图:
表1-1-2
可能具有利用价值的信息 |
|
真实朋友 |
王建 |
(4)访问王建的qq空间,发现王建的头像照片,参见下图:
(5)使用校内网的搜索,配合推测的“王建”个人信息,搜索此人,见下图:
(6)在所有搜索结果中,配合4中已确定的王建的相貌,排除其他同名者,最终确定王建校内网账号,参见下图:
(7)通过校内网中王建的好友信息,配合目标qq空间中的照片,确定其真实姓名及资料,参见下图:
表1-1-3
可能具有利用价值的信息 |
|
目标姓名 |
张磊 |
目标学校 |
鲁东大学 |
(8)通过已获得目标的真实姓名和所在学校,通过google搜索查询,可得到如下结果:
(9)进入网页,分析详细信息,获得目标的中学信息及毕业年份,参见下图:
(10)我们继续使用google,使用其姓名、大学、中学信息进行信息搜集,甚至发现了此人更多的敏感信息,参见下图:
(11)请将搜集到目标的个人信息填入下表:
表1-1-4
可能具有利用价值的信息 |
|
姓名 |
张磊 |
性别 |
男 |
手机号码 |
13515455767 |
邮箱 |
leileiaideni@126.com |
生日 |
6月21日 |
血型 |
B型 |
生肖 |
兔 |
星座 |
双子座 |
省份 |
山东 |
城市 |
泰安 |
大学名称 |
鲁东大学 |
大学入学年份 |
2006年 |
大学院系 |
交通学院 |
大学班级 |
机械本0603班 |
中学名称 |
山东省泰安一中 |
中学班级 |
03级8班 |
中学毕业年份 |
2006年 |
思考题:举出保护个人敏感信息的方法(最少三点)。
1、对敏感数据做单向变换后再保存。系统不直接保存敏感数据,只作匹配用。
2、利于新型加密技术处理数据,比如同态加密技术。
3、对个人数据进行分类,确定个人信息数据等级,比如:一般信息,重要信息,关键信息。
4、用户应该有控制自身个人信息被访问和被利用的最高权限。
5、用户应该保存私钥,且此私钥能被更换,如果更换私钥,与用户相关的敏感数据会一并改变。
密码心理学攻击
本实验设置了host1、host2、host3、host4、host5、host6六个主机用户,此六个用户的用户密码是根据实验1|练习一所搜集到的用户敏感信息设置的,具体内容可参见表3-1-1。
表3-1-1 敏感信息
可能具有利用价值的信息 |
|
姓名 |
张磊 |
性别 |
男 |
手机号码 |
13515455767 |
邮箱 |
leileiaideni@126.com |
生日 |
6月21 |
血型 |
B |
生肖 |
兔 |
星座 |
双子座 |
省份 |
山东 |
城市 |
泰安 |
大学名称 |
鲁东大学 |
大学入学年份 |
2006 |
大学院系 |
机械学院 |
大学班级 |
0603班 |
中学名称 |
山东泰安第一中学 |
中学班级 |
03级8班 |
中学毕业年份 |
2006年 |
根据表3-1-1中给出的相应信息,对新建的六个账户密码进行猜解。
解密:
根据题目给出的一些被攻击者的个人信息,我们有理由猜想其密码或密码中的一部分同其人名、邮箱、手机号、生日、入学年月等个人私密信息高度相关。所以我猜想可能会有以下的一些组合,并将其写入superdic.txt文件,作为密码字典。这里当然是一个不断尝试、猜解的过程。
利用LC5软件,结合我们自己猜测出的密码字典和其本身带有的常见数字、字母组合,可以破解出这6个账户的密码。运行结果如下:
最终的密码表如下:
表3-1-2
账户 |
密码 |
host1 |
ZHANGLEI |
host2 |
19870621 |
host3 |
13515455767 |
host4 |
ZHANGLEI123 |
host5 |
ZL0621 |
host6 |
LEILEIAIDENI |
思考题:如何提高你的密码强壮性,以避免黑客利用密码心理学猜解你的密码?
1、确保由数字,字母(大写和小写)字符以及特殊符号和类似字符组成的复杂密码
2、定期更改密码
3、使用先前未使用的新密码
【小结或讨论】
首先说敏感信息搜集实验。其实这不能算是一个真正的专业实验吧,更多的是想让我们意识到个人信息泄漏的情况,并结合实验二来告诉我们个人隐私泄露带来的严重后果。实验的时候我尝试这搜索自己的名字。本来觉得不会有什么有价值的信息的,搜索一番的结果却让我很是意外。我搜索到了自己的性别、生日、星座;在一个比赛介绍的网页上还看到了自己当时的合照;在初中的一份奖励名单上还能知道我的初中;在文库里的一份学生会信息表上,我甚至还看到了自己的手机号、QQ号等隐私信息。这些都让我大为诧异,自以为平时信息没有随便泄露,可是一搜索还能搜出来很多。原来不知不觉中我们就陷入了信息泄露的漩涡。
密码心理分析实验简单来说就是利用目标的一些已知的个人信息来猜解其各个账户的密码。这个其实利用了大部分人的一个常见心理,就是利用自己的姓名、生日、电话、邮箱这种有明显的个人色彩的常用信息来作为密码,这也就给了不法分子可乘之机。在知道目标的一些隐私信息后,我们居然能很快破译出他的6个不同账户的密码,这给我们自己敲响了警钟。
网络安全实验1 敏感信息搜集与密码心理分析相关推荐
- win2008r2用户账户控制什么意思_敏感信息泄露+IDOR+密码确认绕过=账户劫持
今天分享的这篇Writeup是作者在HackerOne上某个邀请测试项目的发现,目标网站存在不安全的访问控制措施,可以利用其导致的敏感信息泄露(auth_token) +密码重置限制绕过,以越权(ID ...
- Springboot加密配置文件中的敏感信息(ps:数据库密码)的方法
SpringBoot配置文件中的内容通常情况下是明文显示,安全性就比较低一些.打开application.properties或application.yml,比如mysql登陆密码,redis登陆密 ...
- 基于公开网站挖掘敏感信息的研究与分析- Fofa 搜索
基于公开公开网站挖掘敏感信息的研究与分析- Fofa 搜索 一.引言 1.1项目概述 基于公开网站的敏感信息挖掘研究与分析:针对目前网络安全整体的趋势我们从google等搜索引擎.Github等代码库 ...
- 2017-2018-2 20155314《网络对抗技术》Exp6 信息搜集与漏洞扫描
2017-2018-2 20155314<网络对抗技术>Exp6 信息搜集与漏洞扫描 目录 实验目标 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 信息搜集 1.1 外围信息搜 ...
- 计算机网络网络安全实验报告,《计算机网络安全》实验报告
<计算机网络安全>实验报告 (9页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 9.9 积分 <计算机网络安全>实验报告■实验名称 ...
- 浅谈“敏感信息泄露“
一:漏洞名称: 敏感信息泄露 描述: 敏感数据包括但不限于:口令.密钥.证书.会话标识.License.隐私数据(如短消息的内容).授权凭据.个人数据(如姓名.住址.电话等)等,在程序文件.配置文件. ...
- 2019-2020-2 20175212童皓桢《网络对抗技术》Exp5 信息搜集与漏洞扫描
2019-2020-2 20175212童皓桢<网络对抗技术> Exp5 信息搜集与漏洞扫描 目录 1. 实验目标 2. 实验内容 2.1 各种搜索技巧的应用 2.2 DNS IP注册信息 ...
- 最新英特尔CPU漏洞SWAPGS曝光,允许黑客访问内存敏感信息
边信道攻击(side channel attack 简称SCA),又称侧信道攻击:针对加密电子设备在运行过程中的时间消耗.功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法被称为边信道攻 ...
- 20155201 网络攻防技术 实验六 信息搜集与漏洞
20155201 网络攻防技术 实验六 信息搜集与漏洞 一.实践内容 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 漏洞扫描: ...
最新文章
- SAP IQ09 可以批量查询序列号数据
- Tomcat5.0与SqlServer2000配置连接池(jtds驱动)
- Amazon Elastic Map Reduce使用Apache Mahout计算建议
- 编码Java时的10个微妙的最佳实践
- c语言字符指针初始化赋值,C语言_指针变量的赋值与运算,很详细详解
- 校招应聘产品经理,怎么准备?网易大佬来回答
- linux ACL应用学习
- ztree隐藏指定节点后面的(重命名和删除)图标
- js tooltip之wz_tooltip使用方法和参数备忘
- kindeditor上传图片编辑框乱码问题
- 区块链开发教程系列【加精】
- IOS面试题(收集整理)
- Unity获取本机IP地址
- 如何用GoldWave中文版提取伴奏?
- 迪杰斯特拉和弗洛伊德算法
- 无线路由器的dhcp服务器如何设置,无线路由器怎么设置dhcp服务器
- C++多线程std::async、std::future、std::packaged_task、std::promise
- 乐助手电脑版 v3.0.4.33284 官方版
- FASS-K8S云原生全闪存储解决方案
- 独立按键控制继电器开关
热门文章
- 【PHP开源产品】Ecshop的商品筛选功能实现分析之一
- 《如何撰写一份全面、详细、可行的食品项目计划书》
- 淘宝sku API接口实例代码
- js时间戳13位转日期格式
- tushare股票数据分析中遇到的问题
- 教程 | 阿克曼结构移动机器人的gazebo仿真(九)
- nvidia命令不可用linux,Linux服务器重启后nvidia-smi无法使用的解决方法
- java中英文混合排序_Java编程实现中英混合字符串数组按首字母排序的方法
- 201803-1	跳一跳(C++)
- 计算机常用软件考试试题,计算机常用工具软件试卷试题.docx