社工库网址与制作方法
將互聯(lián)網(wǎng)泄露的信息匯聚成數(shù)據(jù)庫,簡單說:黑客數(shù)據(jù)庫。
中國執(zhí)行信息公開網(wǎng)
http://zxgk.court.gov.cn/?dt_dapp=1全國標(biāo)準(zhǔn)信息公共服務(wù)平臺
http://std.samr.gov.cn/?征信中心
https://ipcrs.pbccrc.org.cn/?中國裁判文書網(wǎng)
https://wenshu.court.gov.cn/商務(wù)部業(yè)務(wù)系統(tǒng)統(tǒng)一平臺
http://www.mofcom.gov.cn/mofcom/typt.shtml?全國企業(yè)信用信息公示系統(tǒng)
http://www.gsxt.gov.cn/index.html?莆田系黑醫(yī)院
https://putianxi.github.io/index.html?社工庫網(wǎng)址
https://www.reg007.com郵箱、手機(jī)號注冊過哪些網(wǎng)站
https://haveibeenpwned.com郵箱是否被泄露
https://snusbase.com/search郵箱、用戶名、IP地址、HASH值
http://163.donothackme.club/ http://s.70sec.com/ http://2017.findmima.com/ https://qq.findmima.com/ http://cha.hx99.net/ http://sgk.70sec.com/index.php https://www.shuju666.com/Home/Profile構(gòu)建社工庫
https://raidforums.com/Announcement-Database-Index-CLICK-ME下載完成以后自己搭建成數(shù)據(jù)搜索平臺
多維角度信息收集
通過app
通過微信公眾號
通過目標(biāo)gg群
通過威助情報
通過網(wǎng)站開發(fā)者角度
通過運(yùn)維角度
通過架構(gòu)師角度去獲得目標(biāo)相關(guān)信息
WEB方面一搜索引擎收錄
數(shù)據(jù)存放未設(shè)置訪問權(quán)限或者防爬處理,造成搜索引擎爬取
WEB方面一轉(zhuǎn)賬
一般在轉(zhuǎn)賬處輸入手機(jī)號或郵箱賬戶的旁邊,有一個歷史轉(zhuǎn)賬信息,點擊以后可以看到轉(zhuǎn)賬信息,由于加密不全,可以抓包查看真實姓名
轉(zhuǎn)賬處邏輯漏洞,越權(quán)造成信息泄露
越權(quán)一任意查看
平臺沒有對上傳的文件進(jìn)行復(fù)雜格式化處理,例如:xXX.com/xxx/xx/012313.jpg
文件易造成任意讀取或者路徑爆破
越權(quán)一任意修改
用戶在進(jìn)行訂單交易時可以將ID修改成任意ID,然后服務(wù)器返回可以查看其它用戶信息,如:收貨地址。
接口-測試接口用戶信息泄露
網(wǎng)站在上線的時候,忘記把測試時的接口進(jìn)行關(guān)閉,從而導(dǎo)致這個接口可以查詢大量用戶信息
員工信息泄露
Github
弱密碼問題
“往往簡單的越是最有效的“
內(nèi)部系統(tǒng)員工密碼為弱口令或者默認(rèn)密碼
后臺管理密碼為開發(fā)密碼
比如:admin、test
APP信息泄露
隱私信息未做加密直接存放本地
前端信息正常,抓包發(fā)現(xiàn)過多信息返回,前后端開發(fā)不一致。
免責(zé)申明:本章素材均來源于網(wǎng)絡(luò),侵權(quán)請聯(lián)系刪除。禁止利用本章內(nèi)容進(jìn)行任何非法操作,作者對于其造成的后果不負(fù)任何責(zé)任!
總結(jié)
以上是生活随笔為你收集整理的社工库网址与制作方法的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 信息收集——指纹识别
- 下一篇: 信息收集 ——情报分析