社工库网址与制作方法

将互联网泄露的信息汇聚成数据库,简单说:黑客数据库。

中国执行信息公开网

http://zxgk.court.gov.cn/?dt_dapp=1

全国标准信息公共服务平台

http://std.samr.gov.cn/

 征信中心

https://ipcrs.pbccrc.org.cn/

 中国裁判文书网

https://wenshu.court.gov.cn/

商务部业务系统统一平台

http://www.mofcom.gov.cn/mofcom/typt.shtml

 全国企业信用信息公示系统

http://www.gsxt.gov.cn/index.html

 莆田系黑医院

https://putianxi.github.io/index.html

 社工库网址

https://www.reg007.com

邮箱、手机号注册过哪些网站

https://haveibeenpwned.com

邮箱是否被泄露

https://snusbase.com/search

邮箱、用户名、IP地址、HASH值

http://163.donothackme.club/
http://s.70sec.com/
http://2017.findmima.com/
https://qq.findmima.com/
http://cha.hx99.net/
http://sgk.70sec.com/index.php
https://www.shuju666.com/Home/Profile

构建社工库

https://raidforums.com/Announcement-Database-Index-CLICK-ME

下载完成以后自己搭建成数据搜索平台

多维角度信息收集
通过app
通过微信公众号
通过目标gg群
通过威助情报
通过网站开发者角度
通过运维角度
通过架构师角度去获得目标相关信息

WEB方面一搜索引擎收录
数据存放未设置访问权限或者防爬处理,造成搜索引擎爬取

WEB方面一转账
一般在转账处输入手机号或邮箱账户的旁边,有一个历史转账信息,点击以后可以看到转账信息,由于加密不全,可以抓包查看真实姓名
转账处逻辑漏洞,越权造成信息泄露

越权一任意查看
平台没有对上传的文件进行复杂格式化处理,例如:xXX.com/xxx/xx/012313.jpg
文件易造成任意读取或者路径爆破

越权一任意修改
用户在进行订单交易时可以将ID修改成任意ID,然后服务器返回可以查看其它用户信息,如:收货地址。

接口-测试接口用户信息泄露
网站在上线的时候,忘记把测试时的接口进行关闭,从而导致这个接口可以查询大量用户信息

员工信息泄露
Github

弱密码问题
“往往简单的越是最有效的“
内部系统员工密码为弱口令或者默认密码
后台管理密码为开发密码
比如:admin、test

APP信息泄露
隐私信息未做加密直接存放本地
前端信息正常,抓包发现过多信息返回,前后端开发不一致。

免责申明:本章素材均来源于网络,侵权请联系删除。禁止利用本章内容进行任何非法操作,作者对于其造成的后果不负任何责任!

你可能感兴趣的:(信息收集,黑客技巧,安全)