本页面只读。您可以查看源文件,但不能更改它。如果您觉得这是系统错误,请联系管理员。 #企业人员信息收集 对一个企业的人员信息进行收集,可以增加对整个公司的架构以及业务组成部分的了解,可为后期提供重要的数据。 ###1、大数据密码 ---- 这里的大数据指的是互联网上已经泄漏过的用户数据组成的数据库,里面包含大量网民的账号与密码。 这种数据泄漏针对其他公司造成的影响正在持续中,很多公司的员工使用了企业的邮箱直接在外注册账号,而是用的邮箱密码又与公司邮箱的密码完全相同,就会导致很严重的问题,这种方式是最暴力最有效的方式。 这个案例可以看乌云主站:[[http://wooyun.org/bugs/wooyun-2010-065887|汽车之家信息泄露所带来的多处高危安全风险]]。 ###2、公司邮箱 ---- 公司邮箱的收集可以使用[[https://github.com/laramies/theHarvester|theHarvester.py]],或者github上搜索,或者在大数据库里搜索,甚至在收集到邮箱之后观察邮箱的特点,自己建立字典规则生成邮箱,并且根据用户名信息弱口令生成密码的字典会有相当大的威力。 案例:[[http://wooyun.org/bugs/wooyun-2010-094035|企业应用安全的软肋之唯品会内网漫游(DBA系统、项目管理系统等)]] ###3、互联网ID ---- 通过weibo或者其他社交应用可以搜索某个公司的人员,比如:[[http://s.weibo.com/user/&work=58%25E5%2590%258C%25E5%259F%258E&Refer=SUer_box|58同城]]。这样便有很大的可能搜索到相关企业员工及其互联网ID,利用这些ID通过大数据便有可能有相关的用户名密码。 这些用户名密码也可能在一些云端如evernote、baidu网盘等,保存着企业的相关敏感数据,可对后期提供重要数据。 ###4、邮件钓鱼 ---- 邮件钓鱼在2014年的时候发现有人发送大量的钓鱼邮件,窃取企业内部相关人员的密码。 其分析可在之前知识库上的一个文章上看到:[[http://drops.wooyun.org/tips/2562|一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件]]