社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心，或者贪

图便宜的心理，让某人捡起不小心丢下的USB，在好奇心的驱使下，该人将该USB插入自己的

计算机，打开带后门的PDF文件，在不知不觉中给该人的计算机种上了木马。回顾上一章前端

安全中重点介绍的XSS技术，如果使目标打开特定u盘的文件有点困难，打开链接就会变得简单

，如何使目标打开攻击者结构的恶意链接，需要社会工程学的协助，最有效的方法是发送让目

标感兴趣的邮件当然，不仅仅是XSS，社会工程学还可以配合钓鱼攻击、CSRF等其他先进技

术。
 

 

社会工程学和渗透测试。社会工程学协助渗透测试的例子数不胜数，渗透某个网站遇到困难时

，给网站的呼叫人员打电话，往往能解决很多问题。此外，许多服务器的登录密码与该服务器

的管理者有关，密码总是有个人痕迹，因此利用社会工程学获得服务器管理者的信息后，进行

服务器渗透测试要简单得多。

 

 

社会工程学和无线攻击。有以下例子:某攻击者想要获得某个程序的源代码，他做了一系列的

准备活动——获得咖啡店的无线路由器密码，控制在目标附近的照相机，然后将目标(源代码

所有者)约定在咖啡店，通过照相机捕获被攻击者行动的图像信息，之后的事情很难想象。这

个例子在本章之前有详细的恢复过程，读者可以带着社会工程学的想法复习，考虑能做什么

，应该怎样预防。

 

 

防御和减轻社会工程学攻击的第一步是了解攻击，从攻击者的角度出发，全面了解防御。社

会工程学是人与人接触的艺术，但这并不意味着所有与你接触的人都是攻击者，保持适当的

警惕，学会识别社会工程学的攻击，是不影响生活的同时防御社会工程学攻击的最好方法。