社工裤搭建服务器

① 社工库怎么进啊

需要翻蔷软件。
Spokeo成立于2006年，由一群斯坦福大学毕业生，包括CEOHarrisonTang、CTOMikeDaly和CIOEricLiang。作为社交媒体聚合器创建。在早期，社交媒体初创公司只有一打，Spokeo将所有用户联系人的帖子合并到一个提要中。事实证明，这种最初的商业模式难以货币化，而Facebook的崛起使其占据主导地位基本上是多余的。
无论您使用什么信息进行搜索姓名、街道或电子邮件地址、在线用户名或电话号码——您只需在搜索框中输入即可。Spokeo的专有搜索算法将识别您输入的信息，并自动从其数据库中提取信息。您还可以单击链接转到特定的搜索类型电话号码、地址等，但这是可选的。

② 如何对网站进行漏洞扫描及渗透测试

注册一个账号，看下上传点，等等之类的。

用google找下注入点，格式是

Site:XXX.com inurl:asp|php|aspx|jsp

最好不要带 www，因为不带的话可以检测二级域名。

大家都知道渗透测试就是为了证明网络防御按照预期计划正常运行而提供的一种机制，而且够独立地检查你的网络策略，一起来看看网站入侵渗透测试的正确知识吧。

简单枚举一些渗透网站一些基本常见步骤：

一 、信息收集

要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等

二、收集目标站注册人邮箱

1.用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。2.用邮箱做关键词,丢进搜索引擎。3.利用搜索到的关联信息找出其他邮进而得到常用社交账号。4.社工找出社交账号，里面或许会找出管理员设置密码的习惯 。5.利用已有信息生成专用字典。6.观察管理员常逛哪些非大众性网站，看看有什么东西

三、判断出网站的CMS

1:查找网上已曝光的程序漏洞并对其渗透2:如果开源，还能下载相对应的源码进行代码审计。

3.搜索敏感文件、目录扫描

四、常见的网站服务器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

五、注入点及漏洞

1.手动测试查看有哪些漏洞

2.看其是否有注入点

3.使用工具及漏洞测试平台测试这个有哪些漏洞可利用

六、如何手工快速判断目标站是windows还是linux服务器？

Linux大小写敏感,windows大小写不敏感。

七、如何突破上传检测？

1、宽字符注入

2、hex编码绕过

3、检测绕过

4、截断绕过

八、若查看到编辑器

应查看编辑器的名称版本,然后搜索公开的漏洞

九、上传大马后访问乱码

浏览器中改编码。

十、审查上传点的元素

有些站点的上传文件类型的限制是在前端实现的，这时只要增加上传类型就能突破限制了。

扫目录，看编辑器和Fckeditor，看下敏感目录，有没有目录遍及，

查下是iis6,iis5.iis7，这些都有不同的利用方法

Iis6解析漏洞

Iis5远程溢出，

Iis7畸形解析

Phpmyadmin

万能密码:’or’='or’等等

等等。

每个站都有每个站的不同利用方法，自己渗透多点站可以多总结点经验。

还有用google扫后台都是可以的。

③ 社工库查询犯法吗

犯法。私自用社工库调查他人涉嫌侵犯个人信息权和个人隐私权。由于社工库掌握众多用户的隐私数据，所以社工库网站大多是非法的，社工库查询自然也是违法的。社工意思就是社会工程，在黑客圈指一种黑客攻击以获取情报和信息的方法。网上的“人肉搜索”就是对社会工程的一种应用。而社工库就是一个数据资料集合库，各大网站用的资料数据搭建的数据库查询平台。
除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权。
一般人员私自查询个人信息有证据证明私自调取是违法，属于侵犯其隐私权。国家机关工作人员私自查询个人信息则涉及到刑事犯罪。节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。
【法律依据】：《中华人民共和国刑法》第二百五十三条 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

④ 网站如何让用户可以正常登录，同时不怕数据库被盗

职责所在，不邀自来。

首先感谢楼上的回到，真的很详实，接下来，我从三个方面讲一讲该如何做才能最大程度（没有百分百）的不出现数据库被盗的悲剧。

第一点也是最重要的一点，是保证应用程序的安全，保证黑客不能通过XSS、SQL注入、命令执行等等一系列的攻击手段把数据库盗走。

把数据库盗走的方式很多，比如入侵了数据库所在的服务器，把数据库文件直接复制走。把数据库的备份偷走。利用SQL注入把整个数据库的所有表全部偷走。针对以上种种，有哪些防范措施呢？权限控制，账号体系。比如应用程序不能通过root账号启动、更改数据库的默认账号，这些小技巧，在关键时候，就能阻止黑客的进一步入侵。所以，安全一定不能马虎大意，要防微杜渐。不然，很容易就“千里之堤毁于蚁穴”。

以上，肯定还是不全面的，欢迎各位同仁一起讨论。

⑤ 社工库免费查询只能一次吗

不是。社工库部分数据是可以永久免费查询的。但是如果涉及隐私问题则不能进行查询。社工库是黑客与大数据方式进行结合的一种产物，黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方。社工库是用各大网站用户的资料数据库搭建的数据库查询平台。

⑥ 社工库信息能删吗

社工库信息能删。根据查询相关公开信息，社工库信息可以找管理员申请删除信息。社工库就是黑客搭建的一种聊天平台。