Web安全实践（12）密码探测

园友Hunts.C昨天留言谈到了校内网，他说"就是个用户ID和邮箱，实际上这里的用户ID就是用户名的作用啊。 只不过它的登录是使用邮箱登录"，其实校内网支持的登录方式为用户名登录和邮箱登陆两种方式，另外对每个用户都分配了唯一的ID。Hunts.C说的对，ID和用户名的作用是相同的，但是对于用户名枚举来说，ID是对用户名的隐藏，因为用ID是不能登陆的。

这一次要 说的内容比较少。

正文

12.1自动化密码探测

所谓自动化密码探测就是利用探测软件不断的向目标发出请求，根据响应来判断探测成功与否。

自动化探测一般有两种方式。一是对同一用户名尝试不同的密码，二是对不同的用户尝试相同的密码。第二种方法更能有效的防止账户锁定。

对于用户名和密码生成有两种方式，一是使用既存的字典，二是程序根据使用者给定的用户名或密码组合规则不断生成。

对于自动化密码探测最大的障碍是验证码和人机区分测试（简单的问题）。

12.2社会工程学

"社会工程学"这个词我不知道是怎么产生的，一开始觉得叫行为心理学似乎更合适。后来才知道社会工程学其实就是间谍活动。

（１）推测法。根据相关信息，常见的如生日，姓名，电话号码，常用的数字组合（1213456等），字母组合，邮箱，父母的名字等等。

（２）欺骗。你可以根据他给你的QQ等信息，通过聊天逐步得到他的相关信息。

（3）利用客服。比如你可以冒充邮箱用户本人给客服打电话说密码丢失。以前听说QQ可以，前天园友告诉我yahoo的信箱也可以，真是不可思议。

（4）"社会工程"允许你以接近目标本人或他的家人，朋友的方式来获得你想要的信息，当然这个web攻击本身关系不紧密，但是却是黑客攻击的手段之一。