渗透测试之:企业人员信息收集

2018-02-2821:33:46 发表评论

渗透测试之:企业人员信息收集

企业人员信息收集
对一个企业的人员信息进行收集,可以增加对整个公司的架构以及业务组成部分的了解,可为后期提供重要的数据。

1、大数据密码
这里的大数据指的是互联网上已经泄漏过的用户数据组成的数据库,里面包含大量网民的账号与密码。

这种数据泄漏针对其他公司造成的影响正在持续中,很多公司的员工使用了企业的邮箱直接在外注册账号,而是用的邮箱密码又与公司邮箱的密码完全相同,就会导致很严重的问题,这种方式是最暴力最有效的方式。

这个案例可以看乌云主站:汽车之家信息泄露所带来的多处高危安全风险。

2、公司邮箱
公司邮箱的收集可以使用theHarvester.py,或者github上搜索,或者在大数据库里搜索,甚至在收集到邮箱之后观察邮箱的特点,自己建立字典规则生成邮箱,并且根据用户名信息弱口令生成密码的字典会有相当大的威力。

案例:企业应用安全的软肋之唯品会内网漫游(DBA系统、项目管理系统等)

3、互联网ID
通过weibo或者其他社交应用可以搜索某个公司的人员,比如:58同城。这样便有很大的可能搜索到相关企业员工及其互联网ID,利用这些ID通过大数据便有可能有相关的用户名密码。

这些用户名密码也可能在一些云端如evernote、baidu网盘等,保存着企业的相关敏感数据,可对后期提供重要数据。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!