这篇文章,是我的学习笔记,也是我的经验积累,一名强者,应该具备多方面实力,在弱肉强食的残酷竞争与优胜劣汰的丛林法则中,唯有强者,才能更好地保护自己与身边的人,因此,我觉得融合多方面的知识与技术,使之融为一体,最终开创属于自己的成功学流派!
本文章仅提供学习,切勿将其用于不法手段!
在社会工程学领域,有很多值得学习与借鉴的东西,社会工程学本身,没有善恶之分,有善恶之分的,是使用它进行不同行为的人!
作为一名白帽黑客,信息收集,是对目标进行渗透的第一步!
有时,当计算机攻防遭遇瓶颈时,以人为点,以点破面,或许也是一种可以选择的途径与方法!
我一直很善良,但我的善良,却让我遭受到了很多的伤害,来自方方面面的伤害,但这一切,并没有把我打倒,痛定思痛,一切伤害与打击,都只会让我变得更强,古语云:天行健,君子当自强不息!我的经历,或许是人生对于我而言,最好的磨砺!上天欲降大任于斯人,必先劳其筋骨,饿其体肤,苦其心智!正所谓,煅其心,炼其体,方可成就其非凡也!
借于孟子的 生于忧患,死于安乐 经典话语 和 哲学思想,一切痛苦和忧伤,或许都将成为我登上巅峰的阶梯!
唯有在忧患中磨砺才能生存发展,沉溺安乐则会导致衰亡。
天将降大任于是人也,必先苦其心志,劳其筋骨,饿其体肤,空乏其身,行拂乱其所为,所以动心忍性,曾益其所不能。
人恒过,然后能改;困于心,衡于虑,而后作;征于色,发于声,而后喻。
入则无法家拂士,出则无敌国外患者,国恒亡。
然后知生于忧患而死于安乐也。
人常会犯错,因此,才会存在改正!犯错,不可怕!可怕的是,不知悔改,执迷而不悟,视为大错!亡羊补牢,虽已晚,但总好过一错再错!
心智困苦,乃为厚积而发之兆!成大事者,皆脱困境而出!困阻不灭其志,则必会被其志所灭!
成大事者,多隐其心智,故愚,以愚而娱奸佞!奸佞之轻视,实为帝者之机也!
为帝者,若沉迷于安逸,享乐而忘本,则朝堂必危!帝者享乐,臣亦效仿,无君无臣治世,天下则危!帝者,不理朝政,则奸佞必生乱政之心,奸佞当朝,则社稷危矣!为帝者,心必明镜,思江山,安社稷,图之长治久安!
人心可善,然,不可愚善!愚善,视为蠢,乃昏庸之兆!
为帝者,当以天下为家,善以待民,然,却亦非以愚善而待民!
恩威并施,以德治世,亦以法而立世!以恩德而益民众归心,以律法而震慑乱世之徒!
为帝者,当文武双全,以文治世,以武卫国,进可攻,而退可守!
攻心为上,武伐为下,擅于攻心者,可不战而屈人之兵!喜于动武者,劳民亦伤财,于国之根基无益!轻不动武,以文为先,以礼相待,以心换心,然,若文之不动,则必伐之!武之行军,以贵神速,以速而溃敌,武之动,则不留情,必除之!所谓,养虎为患,绝非明君所为!
攻敌,必先知敌,知己,亦必知彼!如不知彼,则勿贸动!打草惊蛇,实为匹夫之不智!
匹夫虽勇,却难敌千军万马!猛将虽悍,亦非万军之敌!行军作战,战的是谋略,胜的是智慧!
行军,粮草必先备足,贸然行军,恐有溃败之危!
行军始前,必先利器,必壮体魄,必备粮草,必励心智!行军,亦必守邦,攻敌,亦不可自破!
行军路始,必先斥候探路,晓前途,方可行之,贸进,恐有兵败之险!
行军遇敌,忌慌,亦忌躁!心如明镜,理性为先!领兵忌慌,慌必乱,乱而破绽顿生!
领兵忌躁,躁则心不明!心之不明,决断必错!错之危,恐有败北之厄!
两方交锋,勇者胜!勇者之威势,可破敌之心智!心智不明,则敌必败!
行军之胜,不可骄!骄而乱心,心之不明,亦必生祸端!
帝者,以恩威而治群臣!帝之道,恩威之术也!帝王之术,统驭之道!上合天命,下合臣民!
失臣心,则君位不稳!失民心,则祸乱四起!为君者,当以恩威之术,驾驭天下,平衡之道,乃为驭人之术!
平衡之道,暗含阴阳之理!阴阳并存,方可调和长生!
宇宙之初,一片虚无,只有能量存在!
能量通过相互作用,产生了物质!
物质分阴阳两性,产生了平衡!
宇宙的发展,在平衡中进行!
平衡之道,蕴含着宇宙法则,大道三千,皆为运行规律!
大道三千,相辅相成,共同组成了宇宙,衍化出了生命!
如果我们把这种道理,放到软件编程中来,最初的设计空间(宇宙),是没有规则(类)的!当最初的根规则(根类)被创建出来,即为”一元“!即有了最初的规则(根类)!我们扩展这个根类,使用二叉树法,拓展出了两个类(两仪)(两个更加具体的规则)”阴类“和”阳类“,规则便已发生了衍化!这如同,最初的生命,是无性繁殖的!经过演化变化,有性繁殖诞生了!有了阴阳规则,出现了”平衡“!平衡之道,由”阴规则“和”阳规则“衍化而生!由了阴阳,才有了平衡!二进制的0和1,对应道教理念中的”阴“和”阳“!当 ”繁衍“之道 和 ”平衡“之道 诞生,一套较为完备的规则,也就出现了!随着对象的不断创建,由于空间是有限的,最终,空间会被占满,平衡之道,会被打破!因此,”生”和“死”,这两个规则出现了!其实“生”和“死”规则,是平衡之道的衍生之道,更是“阴”和”阳“规则的衍生规则!”生“代表阳,代表对象的创建!”死规则“代表阴,代表对象的销毁!如果我们仔细思考,我们会发现,道教的很多知识,在编程领域,可以得到相应的映射!
正是有了平衡规则的存在,生命才得以生存,宇宙的发展,才得以延续!
兵法之道,来自于对于人性的深入研究!了解人性,你才能够做到擅用兵法!
研究“鬼谷子”的著作,你会发现,鬼谷子发表的道,为人性之道!
研究“老子”的著作,你会发现,老子研究的是,平衡之道!
无为,对应着虚无,而虚无,是最原始的规则,最原始的道(早于一元之前)!
什么是虚无呢?虚无,就是指,什么都没有,什么都不存在,万物起始之前!
虚无,在道家思想中,代表 无极 ,无限,最原始的那个状态!
李小龙,将求“空无以求全”!讲求“以无法为有法,以无限为有限“!
你如果细心一些,你们会发现,他们的哲学思想的根源,都是最基础的”虚无之道“,或者说,是”无极“之道!无极,无限,才是最初的,真正的道!真正的万道之始,万道之祖!
有人会问,你一个白帽黑客,你一个程序员,研究道家知识,做什么?
在我国计算机普及的开始时期,在九十年代,你会发现,由中国黑客发起的,很多的中国黑客组织(也可以叫做红客组织,因为本质上,红客,指的就是,中国的,爱国的,带有红色信仰的,黑客)的官网上,显著的写着一句话,这也代表了一种哲学思想!那么,这句话,是什么呢?!这句话,来自于”老子“的”道德经“!
道可道,非常道,名可名,非常名!
或许只有同为红客的同仁们,能够理解这句话的意义!
中国的黑客,或者说中国的很多黑客,是喜欢研究道家知识的,TA们,喜欢玄学!
玄学,是封建迷信吗?我一直不这么认为!在我的认知中,玄学,是更加高深的,可能很多现代人无法理解的,科学!爱因斯坦,也曾经说过,科学的尽头,是玄学!
我曾经研究过,亚特兰蒂斯大陆 和 姆大陆 的传说!大家有没有思考过,诺亚方舟,或许正是这两块大陆发生剧变,引发海洋灾难时的,真实发生过的故事?!
大道三千,是否是古人,对于规则的研究与定义?
占卜术 与 占星术,是否有其存在的意义 和 科学根据?!
古人的掌握的科学,是否对于我们现代人来说,就是我们俗称的 “玄学” ?
我最大的兴趣,就是思考,在思考的过程中,我发现,我会学到很多知识,领悟很多的道理!
我喜欢研究兵法,人性,治世之道,等等,任何可以提升我实力的事物,我皆热衷去投入研究!
话题回到 通过 社会工程学 开展渗透测试上来!
先说下重点,这一点,也是可能会被很多人所忽略的!
针对指定目标的渗透测试行为,必须得到合法授权!任何未经授权的渗透测试行为,都可能是非法的!己所不欲,则勿施于人,掌握技术,拥有实力,并不代表可以任意妄为,我们须知,天网恢恢疏而不漏!坏事做多了,总是会被制裁的!身为红客,当以身作则,利用自身的能力,为祖国的强大,做出贡献!手拿菜刀的人,应该成为厨师,而不是罪犯!重要的事情,说三遍!重要的事情,说三遍!重要的事情,说三遍!
信息收集,有很多可用的工具,例如 BasKet 、Dradis 等,都是国际上比较知名的信息收集工具!
信息收集,是渗透测试环节的第一步!
当计算机攻防无法达成目标时,人性攻防,或许也是一种可以采用的技术手段!但需切记,必须得到合法授权,必须得到合法授权,必须得到合法授权!重要的事情,说三遍!
想要进行信息收集,我们需要知道信息源都有哪些!
购物平台、社交软件、游戏平台、搜索引擎等,甚至垃圾堆中,都可能收集到有价值的信息!
白帽黑客在进行渗透测试行为时,往往更擅于从收集到的信息中,分析出有价值的内容!
白帽黑客在进行有目的性的社交行为时,通过交流模型,可以得到很多有价值的信息!
一名优秀的白帽黑客,往往将信息收集训练成一种本能,就如同 功夫之王 李小龙先生 一样,当你把一种技能训练成为本能,那么你的反应速度,也将得到质性的提升!
信息来自哪里?信息无处不在!通过用心观察与细心分析,你会发现,各种 数据信息流 一直伴随在你的身边。目标的发型、目标的衣着、目标的言谈举止、目标的眼神、目标的潜意识行为 等等,都将表现出各种信息,而区别真假,则需要更加高深的侦察手段与理性分析!
福尔摩斯探案,这部小说,讲述了推理的重要性,包括了逻辑性推理和非逻辑性推理!
正向思维 和 逆向思维,有时,都将是不错的解题思路!
在进行渗透测试和逆向工程时,往往需要两种思维并行!
为什么呢?人性的漏洞,有时,才是最大的安全漏洞!
白帽黑客的一些社会工程学渗透,往往利用了人性的欲望,而欲望,有时会是人类最大的安全漏洞。
佛教思想中,提倡四大皆空,试图通过抛弃或减少欲望的方式,来让自身的理性思维变得更强,通过放空自己的方式,以便有充足的时间,去思考人生的真谛!
道教信仰中的,也存在着对于极致人性的追求!
社会工程学,是一门针对人性进行漏洞研究的学科,通过基于人性的渗透测试行为,往往能够挖掘出潜在的安全漏洞,例如 当前台客服小姐姐 对 伪装成 求职者 的 渗透测试工程师 透露 WIFI密码时,企业的安全大门,可能已被打开了一个缺口!一个企业的外部网络防御,可能固若金汤,但其内部网络,则可能充满了安全隐患!内网渗透,对于白帽黑客而言,往往更能取得效果!
如果 白帽黑客 能够先于 黑帽黑客 之前 发现 企业存在的安全漏洞,那么很大程度上,白帽黑客 相当于 又一次 潜移默化的阻止了 一次 甚至 数次 来自 恶意黑客的网络攻击!
在 恶意攻击发生之前,即使发现并修复安全漏洞,是白帽黑客存在的意义!
白帽黑客的存在,意义在于守护网络空间的和平和稳定!
社会工程学中,存在着 交流模型 的概念 !
组成交流模型的相应元素,分别为 信息源、信道、信息、接收方、反馈 等 。
什么是信息源呢?
社会工程人员,就是要传递的消息或交流的源!
大家可以把 信息源 理解为 发送 的 源头!
如同 源IP地址 和 目的IP地址 一样,信息的传递,一般都会存在 源头 和 目的地 !
什么是信道呢?
信道,就是信息传达的方式!
什么是信息?
信息,就是数据,就是向接收者传递的内容!
什么是接收方?
接收方,就是目的地,就是目标!在社会工程学中,一般指被渗透的那个人!
社会工程学,是白帽黑客所需具备的基础技能之一,属于心理学范畴!
一名优秀的白帽黑客,往往具备多种技能,涉足多个不同领域!
有的黑客,甚至是一名跑酷高手,这有助于其快速地进行物理转移(遁走消失)!
什么是反馈呢?
反馈,就是当有效地将信息(数据)传达出去(传送到目标)之后,作为社会工程人员,希望被渗透方给予返回的应答(渗透的效果反馈)!
白帽黑客的渗透测试行动,会经过周密的策划,绝非一时上头的冲动型行为!
有组织,有纪律,有部署,有内容,是渗透测试行动成功的前提保障!
如果向目标发生数据,发送什么样的数据,可以达到效果?
通过发生的数据,作为白帽黑客的我们,期望得到如何的反馈?
如何构造精致的数据,从而提高成功率?
如果巧妙地通过各种设计来规避自己面临的风险?
白帽黑客,一定是智者!愚蠢的人,是当不了黑客的!
跳板技术,可以让白帽黑客在进行渗透测试行为时,巧妙地隐藏自身!
多层跳板技术,增加了反追踪的难度!
匿名技术,一定程度上,降低了真实数据源头被发现的可能性!
加密技术,一定程度上,加强了被传送数据的安全性!
信息安全技术,涉及多个领域,跨学科的知识储备,是必须的!
解密底层数据,你至少会使用C语言编程,能够看得懂C语言代码!
想要解密数据,你至少会使用汇编语言写代码,你必须看得懂汇编代码的用途,并成功逆向出C语言代码!
你要学会很多工具的使用,这是个循序渐进的过程!
你要学会 使用 GDB WIN64DBG OD64 IDA 等软件的使用,要擅长使用它们发现二进制文件中的安全漏洞!
想要防御DLL注入,你首先要知道如何地去进行注入!
你不了解恶意黑客的攻击手法,你又如何去防御来自恶意黑客的信息安全攻击呢?
攻与防,矛与盾,是必然存在的!如同阴阳,缺少了攻击,也就可能懈怠了防御!
不要问我,为什么会这样? 因为,这是人性!作为道德黑客,你必须了解人性!
程序员,不一定是黑客,但黑客,一定是程序员!
心理学爱好者,不一定是黑客,但黑客,一定要会心理学技能!
侦查与反侦查能力,追踪与反追踪能力,都是白帽黑客所必须具备的基础能力!
律师,不一定是黑客,但黑客一定要懂法,信息安全法律法规,要懂!
黑客,这个职业,一定要求具备跨多学科知识,一定要求需要具备多方面的能力!
软件编程,产品设计,UI设计,网络工程,安全审计,等等学科知识,黑客必须要懂,并且要精!
每一名黑客,都应是多面手,技能广度与深度,会影响白帽黑客的作战能力,以及作战效果!
回到社会工程学话题,信道,是一种渗透方式的简称!
当你作为白帽黑客,接到渗透测试任务,你能设计出几种可以进行有效渗透的渠道与方式呢?
你考虑过多渠道协同作战吗?你考虑过渠道本身,可以存在交叉与共融吗?
李小龙先生强调过,搏击行为,不要拘泥于形式,渗透测试,也是一样的道理!
只要可以达成目的,只要不违反国家的法律法规,任何方式,都是可以被考虑的!
优秀的白帽黑客,要求具有足够的细心和耐心!
细心可以让你,更容易发现问题!
耐心可以让你,更加可以发现,隐藏在深层次中的问题!
如果你想挖掘操作系统,或者网络协议中的安全漏洞,没有细心与耐心,是不行的!
白帽黑客,在进行渗透测试行为时,一定要对于目标个体,产生有效的诱导效果!
你如何去诱导被测试目标去主动提供价值信息呢?
诱导的方法,有哪些?思路,有哪些?
人性的弱点,有哪些?人类的必然情绪规律,有哪些?
人脑,如同电脑,都存在着各类安全漏洞!
欲望,是最大的安全漏洞!惯性思维,同样是严重的安全漏洞!
一个人同样身高同样穿着同样外表的人,反复经过一个门岗,门卫很可能会产生惯性思维,认为高度相似的人,就是同一个人,这就是惯性思维!
如果白帽黑客,伪装成某人,利用人性的惯性思维漏洞,去展开渗透测试行动,通过率,是比较高的!但是请注意,技术应该用于正义用途,白帽黑客掌握着强大的技术力量,同时,其也承担着同样重要的使命责任!
很早前,有一部美剧,名字叫做 “伪装者”,我建议现在的白帽黑客们,都可以去看看。
这部剧的主角,就是很出色的社会工程学专家!
还有一部叫做《天蝎》的电视剧,也是比较不错的,讲的是一群道德黑客的创业故事!
网络安全技术,应用于正当用途,成为国之利剑,国之盾牌!
白帽黑客,在利用社会工程学技术 开展渗透测试行为时,一定会先收集目标信息,经常通过观察与诱导的方式来实现目的!我们刚刚说过,人类的惯性思维,是一个不小的安全漏洞,而白帽黑客,在进行渗透测试时,恰恰巧妙的利用了这一人性的弱点!
社会工程学,只能被用于网络安全领域吗?
不是的!在市场营销和网络运营工作中,巧妙且适度地利用社会工程学技术去开展工作,也可以产生不错的效果!
广告宣传, 是什么?本质上,从心理学上来看,其就是一种诱导行为!
诱导效果,决定了广告宣传是否成功!
想要成功实施诱导,掌握心理学知识,是必须的!
利用人性的弱点,白帽黑客,可以成功地实施渗透测试行为!
想要有效诱导,必须建立共情机制!
情感共鸣,往往更容易让双方建立信任感!
通过社会工程学手段去进行渗透测试行为时,作为白帽黑客,与被渗透目标之间,建立起,对于被渗透目标而言的信任关系,是进行有效渗透的基础,也是开展有效诱导工作的心理基础。
试问,被渗透目标,如果完全不信任白帽黑客,甚至保有较深敌意,白帽黑客,又如何去开展渗透测试工作呢?
作为白帽黑客,在使用社会工程学手段进行渗透测试行为时,一定会让被渗透目标放松警惕,通过共情机制 建立好感,产生一定信任!
巧妙的伪装,精致的人设,例如,共同的爱好,共同的追求,共同的朋友,等等,都是快速建立共情机制的基础!
但是,我们应该再次强调,社会工程学技术,仅应被用于合法性用途,且渗透测试行为,必须得到合法授权!必须得到合法授权,必须得到合法的授权!重要的事情,要说三遍!
人类,有悲伤 、恐惧、兴奋、喜悦 等等情绪,这些情绪来自于对于人性的设计!
恐惧时,会缺乏安全感,悲伤时,会不够理性,兴奋时,容易忽视细节,喜悦时,更容易产生共情,这些,都是可以被白帽黑客利用的漏洞点!人性本身,是存在漏洞的!我们在进行安全审计时,在进行环境审计、财务审计、网络审计、软件审计等等审计方式的同时,同样不能忽略对于人的审计,只有加强企业员工的信息安全意识,提升企业员工的信息安全认知和知识储备,才能有效地抵御来自恶意黑客的不法攻击!
白帽黑客,在利用社会工程学技术,进行渗透测试行为时,一定会和被渗透测试目标建立起某种关系,这种关系,有助于其开始渗透测试工作,也就是说,建立信任,是针对人性开展渗透测试工作的重要一环!很多白帽黑客,在开展渗透工作时,会和被渗透目标成为“朋友”!当然,这个朋友 两字,是打了双引号的!在这种特殊场景下建立的“朋友关系”,并非真正的 朋友关系,而只是 白帽黑客 为了 达成 渗透测试任务,而采用的一种技术手段,仅此而已!
白帽黑客,为了成功完成渗透测试任务,会深入地了解并调查被渗透测试目标的各种数据资料,只有全面了解对手,才能增加渗透的成功率!
在进行渗透测试行动之前,白帽黑客,往往会提前收集被渗透目标的各项数据!
也就是说,渗透测试的首项工作,一定是信息收集!信息收集!信息收集!重要的事情,说三遍!
收集足够的信息数据,有助于开展针对人性的渗透测试工作环节中的第二项工作,那就是诱导工作!
当你足够了解你的对手,包括对方的优点和缺点,你自然就会更加容易地知道,如何去进行有效诱导,或者说去进行有效地渗透!
市面上,有些洗脑术、读心术之类的书籍,说到根本,其核心原理,同样是利用人性的漏洞,并加以巧妙利用!
企业老板的“画饼”行为,难道不是一种人性漏洞的利用吗?
心理学,本质上,研究的,还是人性!
无论是催眠,亦或是心理暗示,本质上,都是一种诱导行为!
通过诱导的方式,到达指定的目的,往往是社会工程学的价值所在!
如何诱导,需要结合现实情况,需要考虑即时场景,不存在单一的诱导规则!
研究如何诱导,其实就是在研究人性,通过对人性的深入刨析解读,并加以利用,往往即是整个解题的过程!诱导前期,要收集信息,根据信息进行数据分析与计算,根据这种条件的结果值,计算生成出最为适合的诱导方法!
白帽黑客,想要在渗透测试过程中,实施有效诱导,就必须要逐步了解并掌握目标的相关信息!而对于这些信息的获取,却又是一种诱导的过程!
社会工程学的核心,就是 诱导 !
成功实施诱导的条件,有很多,这是选择题!
例如,有时,想要成功实施诱导,必须进行相应的伪装!
白帽黑客,在进行渗透测试行为时,为什么要进行适当的伪装呢?
在人性弱点中,良好的伪装,可以降低被渗透目标的警惕性!
举个例子,通过 跳板技术 和 源地址伪造技术 ,可以让被渗透目标 难以追踪 到 实施渗透行为的人!
我们都知道,在网络协议中,如何去知道,是谁发来的信息(数据包)。通过 MAC网卡地址 和 IP地址可以定位到 目标地址 和 源地址 !但我们也不得不承认,网络数据包的任何信息,几乎都是可以伪造的!例如 使用原始套接字编程,我们可以直接发送经过特殊构造的数据包到网络之中!
如果 我们 能够代替 操作系统,处理网络数据,那么几乎任何数据,都是可以被伪造的!
DPDK技术,可以让我们直接通过 DPDK驱动 在 用户层 去 处理 网络数据包 !
原始套接字,同样可以让我们直接在底层发送与接收网络数据包!
通过多层跳板技术,白帽黑客可以很好地隐藏自己,当然跳板技术的实现优劣,觉得了被反向追踪成功的可能性有多大!
白帽黑客,从不会在意伪装的形式,如果过程需要,一名黑客,甚至可以伪装成 背景墙 、衣服模特、排水管道,甚至是异性,或者动物、植物!当然,一名优秀的黑客,也可能伪装成任何人!
想要成功扮演一个角色,首先要自己相信,自己就是那个角色,在演员的自我修养中,这种习惯,叫做 角色的代入感!无论是网络聊天,还是现实行动,一名黑客,都会在扮演指定角色之前,去充分了解与分析,甚至不断练习 这个角色身份的相关职业特点,或者性格特点、行为特点 等等!
黑客,一定存在于网络中吗?不是的!也许你对面的一个脏兮兮的乞丐,就是黑客扮演的!黑客想要达到目的,往往会成为(扮演)任何人!
你以为一个拾荒者,在翻找垃圾,只是为了捡一些塑料瓶子或者纸壳去换些金钱?也许,某一名拾荒者,就是 黑客 扮演的,通过翻找快递盒子,可以发现一些很重要的价值信息!
黑客,在进行信息收集时,会采用各种各样的办法,来达成目的!当然,白帽黑客,在渗透测试行为发生之前,都是得到了合法授权的,并在与授权人的有效约定情况下,开展渗透测试工作(包括信息收集、心理诱导等)。
想要进行有效诱导,白帽黑客必须研究人性!而研究人性,就必须学习心理学知识,通过解读人性,白帽黑客在进行渗透测试时,可以更加容易地去进行有效诱导(或者更高层次地去说,是进行思维控制)!诱导方法,有很多种,PUA(情感控制)就是其中一种,然而这种技术方法,也仅仅是社会工程学中,很小的一个分支的心理学技术!很多成功学大师们,往往精通 洗脑术 和 读心术 这些 类似于 西方魔法 类的神奇技术,然而,说到根本,无论是什么心理学技术,都是在基于对于人性的研究及研究成果的基础上,去开展的!
作为一名白帽黑客,你必须做到洞悉人性,看透人性本质,了解人性漏洞,你才能够去进行社会工程审计!人类的欲望、情绪、潜意识习惯、下意识动作、身体自然反应 等等,都是安全漏洞,可以说,人类本身,就是存在安全漏洞的!人类,是有人性的,人类,不是机器人,人类,有情感,而情感本身,就是安全漏洞!我们无法做到却完全杜绝人性漏洞的存在,事实上,几乎任何一个人类,都做不到,但是,我们却可以通过自身能力,去减少这样的漏洞被利用的机会!
作为白帽黑客,如果我们能够赶在恶意黑客(黑帽黑客)之前,通过社会工程审计手段,及早发现问题并进行修复,那么我们,就等于有效阻止了至少一次 恶意黑客(黑帽黑客)可能实施的 社会工程学攻击 !
有古人,曾评价 鬼谷子 ,称其人 通天彻地 ,有几家学问,人不能及。 这一点,体现了 博采众长,集众多知识于一身,并做到融会贯通的实力!
鬼谷子,其 智慧 超越常人(普通人),其喜思考、擅观察、思总结、著经籍, 他思考的维度,与常人不同,这也造就了其非凡的成就!
数学,又涉及日星象纬!
兵学,又涉及六韬三略!
游学,又涉及广记多闻!
出世学,又涉及修真养性!
数学,涉及到日星象纬,则可占往察来!
兵学,涉及到六韬三略,则可布阵行兵!
游学,涉及到广记多闻,则可明理度势!
出世学,涉及到修真养性,则可延年益寿!
数学,涉及到计算推演!
兵学,涉及到军事指挥!
游学,涉及到为人处事!
出世学,涉及到健康养生!
开合之术,开合有道,张弛有度 !
开者,公开之言,阳谋之道!
合者,不言之秘,阴谋之术!
无论是阳谋,还是阴谋,其根本皆为相同!
研究术数,需要研究其本质!
开合之术,包含 阴阳、进退、开闭、柔刚、大小、高低、贱贵等多方面的含义!
这么说,常人,可能无法理解!但是,如果我们用二进制来表示,就比较容易分析了!
阴为0,阳为1,退为0,进为1,闭为0,开为1,柔为0,刚为1,小为0,大为1,低为0,高为1,贱为0,贵为1,女为0,男为1,守为0,攻为1,月亮为0,太阳为1,夜晚为0,白昼为1 等等。
开合之道,莫过于 二进制 的 0 和 1 !
开道,为1,合道,为0 !
开为 打开,合为 关闭 !
我们需要用 辩证法 去研究 鬼谷子 的 开合之道 !
鬼谷子 通过 开合之术 去和战国时期的 诸国君臣,讲道理,他做到了,以理服人!
理之明,易懂!当然容易说服别人,所以,我们讲道理,要说的 通俗易懂 !
讲道理 本身,就是一种 传道 行为 !
讲道理 本身,就是将 思想逻辑 传播出去 !
如何去讲道理呢?是有技巧的 !说话的分寸和尺度,需要经验的积累!
如何 左右逢源 (大家都爱听)?要先了解对方的特点,因地因时因人制宜!
你和农夫去讲兵法,用太术语的方式去说,对方可能听不懂!进而起不到什么 游说 的 效果 !
但是,如果,你用大白话的方式,去和农夫讲故事,农夫,则更可能、更容易地听得懂,并产生一定的个人理解,进而起到好的游说效果!正所谓,见人,说人话,见鬼,说鬼话 !你见到什么样的人,要根据这个人的自身特点,去用恰当的方式表达自己的观点,也就是说,用适合的方式,去和对方 讲道理(传播 思想逻辑)!
如果我们面对的,不是一个人,而是多个人,就要尽可能地 使用 通俗易懂 的方式(包括言语、动作表达等)来让听众都能够理解明白,你在说什么!同时,为了让大家认同你的道理,你还要采用巧妙的方法,包括利用心理学技术(可能涉及 洗脑术、社会工程学 等相关技术知识)等 来让大家认可你! 也就是说,你懂得了人情世故,你还要懂得心理学,你要研究人性,你要知道,你的话语,可能会给对方造成什么影响,对方听到你的话语,会有哪些可能的表现,你要做到 预判 !
你不了解人性,不了解人类思维,你是很难做到预判的!你不去细致分析每个人的性格特点,预判 也很有可能会失误!
讲道理时,要做到 处惊不乱 !
鬼谷子认为,想要对方同意你的观点,认可你的为人,就必须先 反驳对方(这有点像 激将法)!
如果对方情绪激动,那么可能就会暴露出真实的自己!这在社会工程学中,是一种诱导策略!
研究过社会工程学,你会知道,人类在处于激动时,会不够理智,而失去理性,则可能让人犯错!
犯错,即产生了漏洞,白帽黑客在进行渗透测试行为时,往往会针对被渗透目标的这一特性加以利用!
鬼谷子,在这里提到了一个很有趣的技巧,有点 先捧(建立认同),再贬(指出不足)的味道在里面。当然,这里的贬,并不是指的人身攻击,而是说,通过让对方认可与接受的方式,指出对方的不足!
首先,先对其优点加以赞美(这在社会工程学中,往往是渗透的一个步骤之一),人性,是很有趣的,每个人,都喜欢听到赞美,这是潜意识思维决定的,这是 人类 这类生物 在被“设计出厂”时,即被决定的!赞美,会让人产生喜悦情绪,会让被赞美者,产生一种被认同的自豪感和欣慰感!这也是 潜意识 决定的!
接下来,再对方对你放松警惕,建立好感时,再使用对方无法反驳(对方真实存在的缺陷)的证据,来指出对方的不足,并说明,这样的不足,可能造成的严重后果!这里,同样涉及到了 人类 的 恐惧情绪 !人类的惰性,有时体现在 不会引起严重后果的事物,往往有时候是不会被重视的!所以,我们必须突出问题的严重性,让对方重视自身的不足可能产生的严重后果!当然,这里的 恐惧,并不是说,我们要去吓唬对方,而是说,我们要实事求是地阐明,一些问题可能造成的结果!我们讲道理,要有理有据,这样才能以理服人!
当对方认识到自己的严重问题时,我们适合时机地,采用正确的方式,去为对方提出,可以让对方信服的 解决方案,在这时,对方接受的可能性,是比较高的!
我们要让对方认识到,我们是善良地在帮助对方,而不是怀有恶意目的地去伤害对方!
对方,只有放下了,对于我们的警惕心理,我们才能更好地去说服对方 !
鬼谷子的开合之道,莫过于在讲 用合适的方式方法,去有效地 说服对方!
人皆有感恩之心,你“帮助”的人,变多了,你的路,自然就宽了,你的好运,自然,也会到来!
(未完待续)
扫一扫
1831
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
