信息收集综合-优快云博客

本文链接：https://blog.youkuaiyun.com/m0_70346880/article/details/146001187

1《应用服务器资产分析与角色定性详解》

在网络安全领域，对应用服务器的资产分析与角色定性是至关重要的工作。通过对服务器的操作系统、IP资产、端口资产等方面进行详细分析，可以更好地了解服务器的特性与用途，从而为网络安全防护提供有力支持。本文将从多个维度深入探讨应用服务器的资产分析与角色定性方法。

一、操作系统分析

1. Web 大小写敏感性

在分析应用服务器的操作系统时，Web 大小写敏感性是一个重要的参考因素。不同的操作系统对 Web 请求的大小写处理方式存在差异。例如，Linux 系统通常对文件名和路径的大小写敏感，而 Windows 系统则不敏感。通过观察 Web 应用对大小写的不同响应，可以初步判断服务器的操作系统类型。例如，当我们访问一个 Web 页面时，如果输入大写和小写的 URL 路径得到不同的结果，那么很可能是运行在 Linux 系统上的服务器。

2. 端口服务特征

端口服务特征也是判断操作系统的重要依据。不同的操作系统上运行的服务可能会表现出不同的特征。例如，Linux 系统上常见的服务有 Apache、Nginx 等 Web 服务器，而 Windows 系统上则可能运行 IIS 等 Web 服务器。通过扫描服务器的端口，查看开放的端口及其对应的服务，可以进一步缩小操作系统的范围。例如，如果发现服务器开放了 8080 端口，并且运行着 Tomcat 服务，那么很可能是 Linux 或 Windows 系统，因为 Tomcat 在这两种系统上都有广泛的应用。

3. TTL 值判断

TTL（Time To Live）值是 IP 数据包在网络中可以经过的最大跳数。不同的操作系统默认的 TTL 值有所不同，这可以作为判断操作系统的一个参考。例如，Windows 系统的默认 TTL 值通常为 64 或 128，而 Linux 系统的默认 TTL 值通常为 64。通过发送 ICMP 数据包到目标服务器，并查看返回的数据包中的 TTL 值，可以初步判断服务器的操作系统类型。然而，需要注意的是，许多服务器可能会对 TTL 值进行自定义设置，因此这只是一个参考指标。

二、IP 资产分析

1. 归属地查询

查询 IP 地址的归属地可以帮助我们了解服务器的地理位置。通过使用 IP 归属地查询工具或网站，可以获取 IP 地址对应的国家、地区、城市等信息。这对于分析服务器的分布情况以及可能的攻击来源具有重要意义。例如，如果发现某个服务器的 IP 地址归属于一个特定的国家或地区，那么在分析其安全风险时，可以结合该地区的网络安全态势进行考虑。

2. 归属云厂商

许多应用服务器部署在云平台上，因此查询 IP 地址的归属云厂商可以帮助我们了解服务器的托管环境。通过查询 IP 地址的归属云厂商，可以获取服务器所使用的云服务提供商的信息。例如，如果发现某个服务器的 IP 地址归属于阿里云，那么可以推测该服务器可能使用了阿里云提供的各种云服务，如云服务器、数据库、存储等。这对于分析服务器的架构和安全配置具有重要意义。

3. IP 反查机构

IP 反查机构是指通过 IP 地址查询其所属的组织或机构信息。通过使用 IP 反查工具或网站，可以获取 IP 地址对应的组织或机构名称、联系信息等。这对于分析服务器的用途和所有者具有重要意义。例如，如果发现某个服务器的 IP 地址归属于一个特定的机构，那么可以推测该服务器可能用于该机构的业务应用。

4. IP 反查域名

IP 反查域名是指通过 IP 地址查询与其关联的域名信息。通过使用 IP 反查域名工具或网站，可以获取与 IP 地址关联的域名列表。这对于分析服务器的 Web 应用和服务具有重要意义。例如，如果发现某个服务器的 IP 地址关联了多个域名，那么可以推测该服务器可能托管了多个 Web 站点或应用。

5. IP-C 段查询

IP-C 段查询是指查询某个 IP 地址所在的 C 段（即 /24 子网）中的其他 IP 地址。通过使用 IP-C 段查询工具或网站，可以获取与目标 IP 地址同一 C 段的其他 IP 地址列表。这对于分析服务器所在的网络环境和潜在的安全风险具有重要意义。例如，如果发现某个服务器所在的 C 段中存在其他已知的恶意 IP 地址，那么可以推测该服务器可能面临较高的安全风险。

三、端口资产分析

1. 网络资产引擎

网络资产引擎是一种用于扫描和发现网络中资产的工具。通过使用网络资产引擎，可以获取目标服务器的 IP 地址、端口、服务等信息。常见的网络资产引擎包括 Fofa、Hunter、Quake、00信安等。这些工具通过对全网的网络资产进行轮询和扫描，提供了丰富的资产信息。例如，使用 Fofa 可以通过输入特定的查询语句来搜索全球范围内的互联网设备和服务，从而获取目标服务器的详细信息。

2. 在线端口扫描

在线端口扫描是指通过在线工具或网站进行端口扫描。通过在百度或 Google 搜索“在线端口扫描”，可以找到许多提供在线端口扫描服务的网站。这些网站通常允许用户输入目标 IP 地址或域名，并选择要扫描的端口范围。在线端口扫描工具可以快速获取目标服务器的端口开放情况，但需要注意的是，使用在线工具进行端口扫描可能会受到一定的限制，如扫描速度、扫描范围等。

3. 本地离线工具

本地离线工具是指在本地计算机上运行的端口扫描工具。常见的本地离线工具包括 Nmap、Masscan、Fscan、KScan 等。这些工具具有较高的灵活性和可定制性，可以根据用户的需求进行配置和使用。例如，Nmap 是一款经典的网络扫描工具，支持多种扫描模式和选项，可以进行详细的端口扫描和服务识别。Masscan 则以其高速扫描能力著称，适合大规模网络的快速扫描。

在使用本地离线工具进行端口扫描时，需要注意以下几点：

防火墙：防火墙可能会阻止或限制端口扫描的进行，因此在扫描前需要了解目标网络的防火墙设置。
内网环境：在内网环境中进行端口扫描时，需要注意扫描的范围和影响，避免对内网其他设备造成干扰。
扫描协议：选择合适的扫描协议可以提高扫描的准确性。例如，使用 TCP 协议进行扫描可以获取更详细的端口信息，但可能会受到防火墙的限制；使用 UDP 协议进行扫描可以发现更多的服务，但扫描速度较慢。

四、应用服务分析

通过对端口协议的分析，可以确定应用服务器上运行的服务类型。常见的端口协议和服务对应关系如下：

80 端口：通常用于 HTTP 服务，即 Web 服务器。
443 端口：通常用于 HTTPS 服务，即加密的 Web 服务器。
21 端口：通常用于 FTP 服务，即文件传输服务器。
22 端口：通常用于 SSH 服务，即安全 shell 服务。
25 端口：通常用于 SMTP 服务，即邮件传输服务。
110 端口：通常用于 POP3 服务，即邮件接收服务。
3306 端口：通常用于 MySQL 数据库服务。
5432 端口：通常用于 PostgreSQL 数据库服务。

通过对这些端口的扫描和分析，可以确定服务器上运行的具体服务类型，从而进一步了解服务器的用途和功能。

五、角色定性判定

通过对应用服务器的操作系统、IP 资产、端口资产和应用服务的分析，可以对其角色进行定性判定。常见的应用服务器角色包括：

1. 网站服务器

网站服务器主要用于托管和运行 Web 站点或应用。通过分析服务器的端口开放情况和服务类型，可以判断其是否为网站服务器。例如，如果服务器开放了 80 或 443 端口，并且运行着 HTTP 或 HTTPS 服务，那么很可能是网站服务器。

2. 数据库服务器

数据库服务器主要用于存储和管理数据库数据。通过分析服务器的端口开放情况和服务类型，可以判断其是否为数据库服务器。例如，如果服务器开放了 3306 或 5432 端口，并且运行着 MySQL 或 PostgreSQL 数据库服务，那么很可能是数据库服务器。

3. 邮件系统服务器

邮件系统服务器主要用于处理和传输电子邮件。通过分析服务器的端口开放情况和服务类型，可以判断其是否为邮件系统服务器。例如，如果服务器开放了 25、110 或 143 端口，并且运行着 SMTP、POP3 或 IMAP 服务，那么很可能是邮件系统服务器。

4. 文件存储服务器

文件存储服务器主要用于存储和管理文件数据。通过分析服务器的端口开放情况和服务类型，可以判断其是否为文件存储服务器。例如，如果服务器开放了 21 端口，并且运行着 FTP 服务，那么很可能是文件存储服务器。

5. 网络通信服务器

网络通信服务器主要用于提供网络通信服务。通过分析服务器的端口开放情况和服务类型，可以判断其是否为网络通信服务器。例如，如果服务器开放了 22 端口，并且运行着 SSH 服务，那么很可能是网络通信服务器。

6. 安全系统服务器

安全系统服务器主要用于提供安全防护和管理功能。通过分析服务器的端口开放情况和服务类型，可以判断其是否为安全系统服务器。例如，如果服务器运行着防火墙、入侵检测系统等安全服务，那么很可能是安全系统服务器。

六、总结

通过对应用服务器的操作系统、IP 资产、端口资产和应用服务的详细分析，可以对其角色进行准确的定性判定。这不仅有助于我们更好地了解服务器的用途和功能，还可以为网络安全防护提供有力支持。在实际工作中，我们可以结合多种工具和方法，如网络资产引擎、在线端口扫描、本地离线工具等，进行全面的资产分析和角色定性。同时，需要注意的是，在进行资产分析和角色定性时，要遵守相关的法律法规和道德规范，确保扫描和分析的合法性和安全性。

2《信息收集：主动与被动的全方位解析》

在网络安全领域，信息收集是渗透测试和安全评估的第一步，也是至关重要的一步。通过信息收集，我们可以获取目标系统的大量信息，从而为后续的漏洞挖掘和安全评估提供有力支持。信息收集主要分为两种方式：主动信息收集和被动信息收集。本文将详细介绍这两种信息收集方式，并结合域名和子域名的收集方法，提供一些实用的工具和技巧。

一、主动信息收集

主动信息收集是指通过直接与目标服务器进行交互，获取目标系统的信息。这种方式通常会发送请求到目标服务器，并分析返回的响应数据。主动信息收集的优点是获取的信息较为直接和准确，但缺点是可能会被目标系统检测到，从而引发安全警报。

1. 网络扫描

网络扫描是主动信息收集中最常用的方法之一。通过网络扫描，可以获取目标系统的IP地址、端口、服务等信息。常见的网络扫描工具包括Nmap、Masscan、Fscan等。这些工具可以进行端口扫描、服务识别和漏洞检测。

Nmap：一款经典的网络扫描工具，支持多种扫描模式和选项，可以进行详细的端口扫描和服务识别。
Masscan：一款高性能的端口扫描工具，能够在短时间内完成大规模网络的扫描，适合快速资产发现和漏洞评估。
Fscan：一款内网综合扫描工具，支持端口扫描、服务识别、漏洞检测等功能，适合渗透测试过程中使用。

2. 漏洞扫描

漏洞扫描是通过扫描工具检测目标系统是否存在已知漏洞。常见的漏洞扫描工具包括OpenVAS、Nessus等。这些工具可以扫描目标系统的漏洞，并提供详细的漏洞报告。

二、被动信息收集

被动信息收集是指在不与目标系统直接交互的情况下，通过第三方渠道获取目标系统的信息。这种方式通常不会被目标系统检测到，因此较为隐蔽。被动信息收集的优点是隐蔽性强，但缺点是获取的信息可能不够全面和准确。

1. 搜索引擎

通过搜索引擎可以获取目标系统的大量信息，包括域名、IP地址、子域名等。常见的搜索引擎包括Google、Bing、Baidu等。通过特定的搜索语法，可以获取更精确的信息。例如，使用site:语法可以搜索特定域名下的所有页面。

2. 社交媒体

通过社交媒体平台可以获取目标系统的相关信息，包括员工信息、公司动态等。常见的社交媒体平台包括LinkedIn、Twitter、Facebook等。通过搜索目标公司的名称或员工姓名，可以获取大量的公开信息。

3. 威胁情报平台

威胁情报平台提供了大量的网络安全情报信息，包括漏洞、恶意软件、攻击者信息等。常见的威胁情报平台包括AlienVault、RiskIQ、ThreatBook等。通过这些平台，可以获取目标系统的潜在威胁信息。

三、域名信息收集

域名信息收集是信息收集中的重要环节。通过域名信息收集，可以获取目标系统的备案信息、企业产权信息、Whois信息等。

1. 备案信息

通过域名查备案信息，可以获取目标系统的备案信息，包括备案号、备案单位等。备案信息可以提供更多的域名信息，有助于进一步的信息收集。

2. 企业产权

通过企业产权查询，可以获取目标系统的Web、APP、小程序等版权资产。企业产权信息可以提供更多的域名和子域名信息，有助于全面了解目标系统的资产情况。

3. 域名相关性

Whois信息：通过查询域名的Whois信息，可以获取域名所有人、域名注册商、邮箱等信息。这些信息可以用于进一步的域名和子域名收集。
域名注册接口：通过域名注册接口，可以获取域名的后缀信息，从而发现更多的域名。
查询域名注册邮箱：通过查询域名注册邮箱，可以获取更多的域名信息。
反查注册邮箱：通过反查注册邮箱，可以获取更多的域名和子域名信息。
反查注册人：通过反查注册人，可以获取更多的域名和子域名信息。

四、子域名信息收集

子域名信息收集是信息收集中的关键环节。通过子域名信息收集，可以获取目标系统的更多资产信息，从而为后续的漏洞挖掘和安全评估提供支持。

1. DNS数据

通过DNS解析历史记录查询域名资产，可以获取目标系统的子域名信息。DNS数据可以提供大量的子域名信息，有助于全面了解目标系统的资产情况。

2. 证书查询

通过SSL证书解析查询域名资产，可以获取目标系统的子域名信息。SSL证书中通常包含域名信息，通过解析证书可以发现更多的子域名。

3. 网络空间

通过多网络空间综合型获取的记录，可以获取目标系统的子域名信息。网络空间测绘工具如Fofa、Hunter、Quake等可以提供大量的子域名信息。

4. 威胁情报

通过各类接口的集成记录，可以获取目标系统的子域名信息。威胁情报平台如AlienVault、RiskIQ、ThreatBook等可以提供大量的子域名信息。

5. 枚举解析

通过枚举解析，可以获取目标系统的子域名信息。枚举解析主要依赖于字典文件，通过枚举常见的子域名，可以发现更多的子域名。

6. JS提取子域名

通过JS提取子域名，可以获取目标系统的子域名信息。JS文件中通常包含大量的子域名信息，通过解析JS文件可以发现更多的子域名。

五、工具推荐

1. ksubdomain

ksubdomain是一款基于无状态子域名爆破工具，支持在Windows/Linux/Mac上使用。它能够快速进行DNS爆破，理论最大发包速度在30w/s（Mac和Windows）和160w/s（Linux）。ksubdomain的发送和接收是分离且不依赖系统，即使高并发发包，也不会占用系统描述符让系统网络阻塞。

3《Web架构与安全：从基础到进阶》

在当今数字化时代，Web架构的安全性与稳定性成为了企业和开发者关注的焦点。从开源CMS到各种框架组件，从Web服务器到数据库类型，每一个环节都可能成为攻击者的目标。本文将带你深入了解Web架构的各个方面，从基础到进阶，从指纹识别到WAF识别，再到蜜罐识别和框架组件识别，全面解析Web安全的每一个细节。

一、Web架构概述

1. 开源CMS

开源CMS（Content Management System）是构建网站和Web应用的基石。常见的开源CMS包括Discuz、WordPress、PageAdmin、蝉知等。这些CMS因其丰富的功能和强大的社区支持，被广泛应用于各类网站的建设中。然而，开源CMS的安全性一直是开发者和安全研究人员关注的重点。由于其开源的特性，攻击者可以轻易获取其源码，从而发现潜在的漏洞。因此，定期更新和维护开源CMS，及时修复已知漏洞，是确保网站安全的重要措施。

2. 前端技术

前端技术是Web应用的门面，直接影响用户体验。常见的前端技术包括HTML5、Jquery、Bootstrap、Vue、NodeJS等。这些技术通过提供丰富的交互功能和美观的界面，提升了用户的满意度。然而，前端技术的安全性也不容忽视。例如，XSS（跨站脚本攻击）和CSRF（跨站请求伪造）等常见的Web攻击，往往通过前端漏洞实现。因此，开发者在使用前端技术时，应注重安全编码，避免引入不必要的安全风险。

3. 开发语言

开发语言是构建Web应用的核心。常见的开发语言包括PHP、JAVA、Ruby、Python、C#、JS、Go等。每种语言都有其独特的特性和应用场景。例如，PHP因其简单易用，被广泛应用于Web开发；而Python则因其强大的库支持，成为数据科学和机器学习的首选语言。然而，不同的开发语言也存在不同的安全风险。例如，PHP的代码注入漏洞和Python的依赖管理问题，都是开发者需要关注的安全隐患。

4. 框架组件

框架组件是加速Web开发的重要工具。常见的框架组件包括SpringMVC、Thinkphp、Yii、Tornado、Vue等。这些框架通过提供丰富的功能模块和便捷的开发接口，帮助开发者快速构建Web应用。然而，框架组件的安全性也是开发者需要关注的重点。例如，Thinkphp的远程代码执行漏洞和SpringMVC的文件上传漏洞，都是近年来较为严重的安全事件。因此，开发者在使用框架组件时，应定期更新和维护，及时修复已知漏洞。

5. Web服务器

Web服务器是Web应用的运行环境。常见的Web服务器包括Apache、Nginx、IIS、Lighttpd等。这些服务器通过提供高效的请求处理和稳定的运行环境，支持Web应用的正常运行。然而，Web服务器的安全性也是开发者和安全研究人员关注的重点。例如，Apache的mod_security模块和Nginx的ngx_http_sub_module模块，都曾被发现存在严重的安全漏洞。因此，开发者在使用Web服务器时，应定期更新和维护，及时修复已知漏洞。

6. 应用服务器

应用服务器是Web应用的后端支撑。常见的应用服务器包括Tomcat、Jboss、Weblogic、Websphere等。这些服务器通过提供强大的后端支持和高效的请求处理，确保Web应用的稳定运行。然而，应用服务器的安全性也是开发者和安全研究人员关注的重点。例如，Tomcat的远程代码执行漏洞和Weblogic的反序列化漏洞，都是近年来较为严重的安全事件。因此，开发者在使用应用服务器时，应定期更新和维护，及时修复已知漏洞。

7. 数据库类型

数据库是Web应用的数据存储核心。常见的数据库类型包括Mysql、SqlServer、Oracle、Redis、MongoDB等。这些数据库通过提供高效的数据存储和查询功能，支持Web应用的正常运行。然而，数据库的安全性也是开发者和安全研究人员关注的重点。例如，Mysql的SQL注入漏洞和Redis的未授权访问漏洞，都是常见的安全问题。因此，开发者在使用数据库时，应注重安全配置，避免引入不必要的安全风险。

8. 操作系统信息

操作系统是Web应用的运行基础。常见的操作系统包括Linux、Windows、Mac等。每种操作系统都有其独特的特性和应用场景。例如，Linux因其开源和稳定性，被广泛应用于服务器端；而Windows则因其丰富的应用支持，成为桌面端的首选操作系统。然而，操作系统的安全性也是开发者和安全研究人员关注的重点。例如，Windows的远程桌面协议（RDP）漏洞和Linux的SSH漏洞，都是常见的安全问题。因此，开发者在使用操作系统时，应定期更新和维护，及时修复已知漏洞。

9. 应用服务信息

应用服务是Web应用的重要组成部分。常见的应用服务包括FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等。这些服务通过提供丰富的功能支持，确保Web应用的正常运行。然而，应用服务的安全性也是开发者和安全研究人员关注的重点。例如，FTP的明文传输漏洞和SSH的密钥泄露漏洞，都是常见的安全问题。因此，开发者在使用应用服务时，应注重安全配置，避免引入不必要的安全风险。

10. CDN信息

CDN（Content Delivery Network）是提升Web应用性能的重要工具。常见的CDN服务包括帝联、Cloudflare、网宿、七牛云、阿里云等。这些服务通过提供高效的内容分发和加速功能，提升Web应用的访问速度和用户体验。然而，CDN的安全性也是开发者和安全研究人员关注的重点。例如，Cloudflare的SSL/TLS配置漏洞和网宿的DDoS防护漏洞，都是常见的安全问题。因此，开发者在使用CDN服务时，应注重安全配置，避免引入不必要的安全风险。

11. WAF信息

WAF（Web Application Firewall）是保护Web应用安全的重要工具。常见的WAF产品包括创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。这些产品通过提供强大的Web应用防护功能，保护Web应用免受各类攻击。然而，WAF的安全性也是开发者和安全研究人员关注的重点。例如，ModSecurity的规则配置漏洞和OpenRASP的插件漏洞，都是常见的安全问题。因此，开发者在使用WAF产品时，应注重安全配置，避免引入不必要的安全风险。

12. 蜜罐信息

蜜罐是用于诱捕攻击者的重要工具。常见的蜜罐产品包括HFish、TeaPot、T-Pot、Glastopf等。这些产品通过模拟真实的Web应用环境，诱捕攻击者，从而获取攻击者的行为信息。然而，蜜罐的安全性也是开发者和安全研究人员关注的重点。例如，HFish的配置漏洞和TeaPot的插件漏洞，都是常见的安全问题。因此，开发者在使用蜜罐产品时，应注重安全配置，避免引入不必要的安全风险。

13. 其他组件信息

其他组件是Web应用的重要组成部分。常见的其他组件包括FastJson、Shiro、Log4j、Solr、XStream等。这些组件通过提供丰富的功能支持，确保Web应用的正常运行。然而，其他组件的安全性也是开发者和安全研究人员关注的重点。例如，FastJson的反序列化漏洞和Shiro的权限绕过漏洞，都是常见的安全问题。因此，开发者在使用其他组件时，应注重安全配置，避免引入不必要的安全风险。

二、指纹识别

1. 平台

指纹识别是Web安全的重要环节。通过指纹识别，可以快速了解目标Web应用的技术栈和潜在漏洞。常见的指纹识别平台包括yunsee.cn、TideFinger、指纹收录平台等。这些平台通过提供丰富的指纹数据和便捷的查询功能，帮助安全研究人员快速识别目标Web应用的技术栈。

yunsee.cn：提供丰富的指纹数据和便捷的查询功能，支持多种Web应用和服务的指纹识别。
TideFinger：提供快速的Web应用和服务指纹识别功能，支持多种查询方式。
指纹收录平台：提供丰富的指纹数据和便捷的查询功能，支持多种Web应用和服务的指纹识别。

2. 项目

指纹识别项目是Web安全的重要工具。常见的指纹识别项目包括Wappalyzer、hfinger、CMSeeK、EHole_magic、observer_ward等。这些项目通过提供丰富的指纹数据和便捷的识别功能，帮助安全研究人员快速识别目标Web应用的技术栈。

Wappalyzer：一个用于Web应用和服务指纹识别的工具，支持多种Web应用和服务的指纹识别。
hfinger：一个高性能的命令行工具，用于Web框架、CDN和CMS指纹识别。
CMSeeK：一个用于CMS检测和漏洞利用的工具，支持多种CMS的检测和漏洞利用。
EHole_magic：一个用于Web应用和服务指纹识别的工具，支持多种Web应用和服务的指纹识别。
observer_ward：一个用于Web应用和服务指纹识别的工具，支持多种Web应用和服务的指纹识别。

3. 使用网络空间的ico识别

借助目标的ico图标进行识别是Web安全的重要手段。通过分析目标Web应用的ico图标，可以快速了解目标Web应用的技术栈和潜在漏洞。常见的ico识别方法包括使用网络空间搜索引擎和工具进行查询。

三、WAF识别

1. 拦截页面

WAF识别是Web安全的重要环节。通过分析WAF的拦截页面，可以快速了解目标Web应用是否使用了WAF。常见的WAF识别方法包括使用identYwaf和wafw00f等工具进行查询。

identYwaf：一个用于盲WAF识别的工具，通过发送特定的payload来触发WAF的响应，从而识别出WAF的类型。
wafw00f：一个用于WAF识别的工具，通过发送多种请求并分析响应，识别出WAF的类型。

2. 项目内置

WAF识别项目是Web安全的重要工具。常见的WAF识别项目包括identYwaf和wafw00f等。这些项目通过提供丰富的WAF数据和便捷的识别功能，帮助安全研究人员快速识别目标Web应用是否使用了WAF。

四、蜜罐识别

1. 项目识别

蜜罐识别是Web安全的重要环节。通过分析蜜罐的特征，可以快速了解目标Web应用是否使用了蜜罐。常见的蜜罐识别方法包括使用Heimdallr和quake_rs等工具进行查询。

Heimdallr：一个用于蜜罐识别的工具，通过分析蜜罐的特征，识别出蜜罐的类型。
quake_rs：一个用于蜜罐识别的工具，通过发送特定的请求并分析响应，识别出蜜罐的类型。

2. 人工识别

蜜罐识别也可以通过人工方式进行。常见的蜜罐识别方法包括分析端口的规律性、Web访问协议的异常等。通过这些方法，可以快速识别出目标Web应用是否使用了蜜罐。

五、框架组件识别

1. 后续会讲到更多识别方法及项目插件

框架组件识别是Web安全的重要环节。通过分析框架组件的特征，可以快速了解目标Web应用的技术栈和潜在漏洞。常见的框架组件识别方法包括使用特定的工具和插件进行查询。

FastJson：一个用于JSON解析的Java库，常见的漏洞包括反序列化漏洞。
Shiro：一个用于权限管理的Java框架，常见的漏洞包括权限绕过漏洞。

六、总结

通过对Web架构的各个方面进行详细分析，可以全面了解Web应用的技术栈和潜在漏洞。从开源CMS到各种框架组件，从Web服务器到数据库类型，每一个环节都可能成为攻击者的目标。因此，开发者和安全研究人员应注重安全配置，定期更新和维护，及时修复已知漏洞，确保Web应用的安全性和稳定性。

4《Web安全：源码泄漏的深度剖析与实战案例》

在Web安全领域，源码泄漏是一个常见且严重的安全问题。攻击者通过获取目标网站的源码，可以深入了解其技术架构、业务逻辑和潜在漏洞，从而实施更精准的攻击。本文将从源码泄漏的原因、常见途径、实战案例等方面进行详细探讨，帮助读者更好地理解和防范源码泄漏风险。

一、源码泄漏的原因

1. 源码本身的特性

源码泄漏的一个重要原因是源码本身的特性。许多开发工具和框架在生成源码时，会默认包含一些敏感信息，如配置文件、调试信息等。这些信息在开发和调试阶段非常有用，但在生产环境中却可能成为攻击者的突破口。例如，某些框架生成的源码中可能包含详细的错误信息和调试日志，这些信息可以帮助攻击者快速定位系统的漏洞。

2. 管理员不好的习惯

管理员的不良习惯也是导致源码泄漏的重要原因之一。许多管理员在开发和部署过程中，未能及时清理和删除不必要的文件，如测试代码、调试日志、配置文件等。这些文件如果被暴露在生产环境中，可能会被攻击者利用。此外，管理员在使用版本控制系统时，可能会不小心提交了敏感信息，如数据库连接字符串、API密钥等，这些信息也可能导致源码泄漏。

3. 管理员习惯的开发入口

管理员在开发过程中，可能会使用一些特定的入口文件或目录，如.git、.svn、.DS_Store等。这些文件和目录在开发过程中非常有用，但如果被暴露在生产环境中，可能会被攻击者利用。例如，.git目录包含了版本控制系统的全部历史记录，攻击者可以通过解析.git目录获取源码。

4. 管理员不好的配置

管理员的不良配置也是导致源码泄漏的重要原因之一。许多管理员在配置服务器时，未能正确设置文件权限和目录权限，导致敏感文件和目录被暴露。例如，某些服务器配置中可能允许匿名用户访问.git、.svn等目录，从而导致源码泄漏。

5. 管理员不好的意识

管理员的安全意识不足也是导致源码泄漏的重要原因之一。许多管理员在开发和部署过程中，未能充分认识到源码泄漏的风险，未能采取有效的防护措施。例如，某些管理员在使用版本控制系统时，未能及时清理和删除不必要的文件，导致敏感信息被提交到版本控制系统中。

6. 管理员资源信息搜集

管理员在开发和部署过程中，可能会搜集和使用一些资源信息，如开源代码、第三方库等。这些资源信息如果被暴露在生产环境中，可能会被攻击者利用。例如，某些开源代码中可能包含敏感信息，如数据库连接字符串、API密钥等，这些信息如果被暴露，可能会导致源码泄漏。

二、源码泄漏的常见途径

1. Webpack打包泄漏

Webpack是一种常用的前端打包工具，它在打包过程中会生成.js.map文件，这些文件包含了源码的详细信息。攻击者可以通过解析.js.map文件获取源码。例如，使用SourceDetector插件可以自动检测并下载.js.map文件，从而获取源码。

2. composer.json

composer.json是PHP项目中常用的依赖管理文件，它包含了项目的依赖信息和配置信息。攻击者可以通过获取composer.json文件，了解项目的依赖关系和配置信息，从而获取源码。

3. GitHub源码泄漏

GitHub是一个常用的代码托管平台，许多开发者会在GitHub上公开项目的源码。攻击者可以通过搜索GitHub上的项目，获取目标网站的源码。例如，使用特定的搜索语法，可以搜索到包含敏感信息的项目。

4. Git源码泄露

Git是一种常用的版本控制系统，它在使用过程中会生成.git目录，该目录包含了版本控制系统的全部历史记录。攻击者可以通过解析.git目录获取源码。例如，使用GitHack工具可以解析.git目录，获取源码。

5. SVN源码泄露

SVN是一种常用的版本控制系统，它在使用过程中会生成.svn目录，该目录包含了版本控制系统的全部历史记录。攻击者可以通过解析.svn目录获取源码。例如，使用SvnHack工具可以解析.svn目录，获取源码。

6. 网站备份压缩文件

网站备份压缩文件通常包含了网站的全部源码和配置信息。攻击者可以通过获取网站备份压缩文件，获取源码。例如，使用dumpall工具可以解析.git、.svn、.DS_Store等文件，获取源码。

7. DS_Store文件泄露

DS_Store文件是Mac系统中的一种隐藏文件，它包含了目录的元信息。攻击者可以通过获取DS_Store文件，了解目录结构，从而获取源码。例如，使用ds_store_exp工具可以解析DS_Store文件，获取源码。

8. hg源码泄漏

hg是一种常用的版本控制系统，它在使用过程中会生成.hg目录，该目录包含了版本控制系统的全部历史记录。攻击者可以通过解析.hg目录获取源码。

9. SWP文件泄露

SWP文件是Vim编辑器中的一种临时文件，它包含了编辑器的会话信息。攻击者可以通过获取SWP文件，了解编辑器的会话信息，从而获取源码。

10. CVS泄露

CVS是一种常用的版本控制系统，它在使用过程中会生成CVS目录，该目录包含了版本控制系统的全部历史记录。攻击者可以通过解析CVS目录获取源码。

11. Bzr泄露

Bzr是一种常用的版本控制系统，它在使用过程中会生成.bzr目录，该目录包含了版本控制系统的全部历史记录。攻击者可以通过解析.bzr目录获取源码。

12. WEB-INF/web.xml泄露

WEB-INF/web.xml是Java Web应用中的一种配置文件，它包含了应用的配置信息。攻击者可以通过获取web.xml文件，了解应用的配置信息，从而获取源码。

三、源码泄漏的实战案例

1. 已知指纹识别获取源码途径

通过指纹识别平台获取目标网站的技术栈信息，从而获取源码。例如，使用FingerprintHub平台可以获取目标网站的技术栈信息，从而获取源码。

2. GIT泄漏-未知指纹识别获取源码途径

通过解析.git目录获取源码。例如，使用GitHack工具可以解析.git目录，获取源码。

3. SVN泄漏-未知指纹识别获取源码途径

通过解析.svn目录获取源码。例如，使用SvnHack工具可以解析.svn目录，获取源码。

4. DS_Store泄漏-未知指纹识别获取源码途径

通过解析DS_Store文件获取源码。例如，使用ds_store_exp工具可以解析DS_Store文件，获取源码。

5. WebPack打包-未知指纹识别获取源码途径

通过解析.js.map文件获取源码。例如，使用SourceDetector插件可以自动检测并下载.js.map文件，从而获取源码。

6. composer.json-未知指纹识别获取源码途径

通过获取composer.json文件，了解项目的依赖关系和配置信息，从而获取源码。

7. 源码文件备份泄漏-未知指纹识别获取源码途径

通过获取网站备份压缩文件，获取源码。例如，使用dumpall工具可以解析.git、.svn、.DS_Store等文件，获取源码。

8. GitHub资源搜索-未知指纹识别获取源码途径

通过搜索GitHub上的项目，获取目标网站的源码。例如，使用特定的搜索语法，可以搜索到包含敏感信息的项目。

9. 另类目标源码获取

通过资源平台获取源码。例如，使用互站网和闲鱼等平台，可以获取目标网站的源码。

四、源码泄漏的防范措施

1. 加强安全意识

管理员应加强安全意识，充分认识到源码泄漏的风险，采取有效的防护措施。例如，定期清理和删除不必要的文件，避免在版本控制系统中提交敏感信息。

2. 合理配置权限

管理员应合理配置文件和目录权限，避免敏感文件和目录被暴露。例如，设置适当的文件和目录权限，避免匿名用户访问敏感文件和目录。

3. 使用安全工具

管理员应使用安全工具，如GitHack、SvnHack、ds_store_exp等，定期检查和扫描源码，发现并修复潜在的安全问题。

4. 加强监控

管理员应加强监控，及时发现和处理源码泄漏问题。例如，使用GitHub监控工具，及时发现和处理源码泄漏问题。

5. 定期更新

管理员应定期更新和维护源码，及时修复已知漏洞，避免源码泄漏问题。例如，定期更新和维护源码，及时修复已知漏洞。

五、总结

源码泄漏是一个常见且严重的安全问题，攻击者通过获取目标网站的源码，可以深入了解其技术架构、业务逻辑和潜在漏洞，从而实施更精准的攻击。本文从源码泄漏的原因、常见途径、实战案例等方面进行了详细探讨，希望读者能够更好地理解和防范源码泄漏风险。在实际工作中，管理员应

5《Web安全：从JavaScript文件中提取信息的艺术》

在现代Web应用中，JavaScript（JS）文件扮演着至关重要的角色。从用户界面的交互到后端服务的调用，JS文件中蕴含着丰富的信息。在渗透测试中，从JS文件中提取信息是一项关键步骤，它可以帮助我们发现潜在的安全漏洞和敏感信息。本文将详细介绍如何从JS文件中提取有价值的信息，以及如何利用这些信息进行安全测试。

一、JS信息收集

1. 接口URL提取

从JS文件中提取接口URL是渗透测试中的一个重要环节。通过分析JS文件中的网络请求，我们可以发现应用与后端服务之间的交互接口。这些接口可能包含敏感信息，如用户数据、配置信息等。常见的提取方法包括：

正则表达式匹配：使用正则表达式匹配JS文件中的URL模式，提取出接口URL。
工具化提取：使用专门的工具，如JSFinder、URLFinder等，自动提取JS文件中的URL。

2. 后端地址提取

除了接口URL，JS文件中还可能包含后端服务的地址信息。这些地址可能用于服务之间的通信，也可能包含敏感信息。通过提取后端地址，我们可以进一步了解应用的架构和潜在的安全风险。

3. 敏感信息提取

JS文件中可能包含各种敏感信息，如API密钥、数据库连接字符串、用户凭证等。这些信息如果被泄露，可能会导致严重的安全问题。常见的敏感信息提取方法包括：

关键字搜索：在JS文件中搜索常见的敏感信息关键字，如apiKey、password等。
正则表达式匹配：使用正则表达式匹配敏感信息的模式，提取出相关数据。

4. 配置信息提取

JS文件中可能包含应用的配置信息，如环境变量、配置文件路径等。这些信息可以帮助我们了解应用的运行环境和配置细节，从而发现潜在的安全问题。

5. 其他信息提取

除了上述信息，JS文件中还可能包含其他有价值的信息，如环境信息、注释、用途说明等。这些信息可以帮助我们更好地理解应用的功能和逻辑，从而进行更深入的安全测试。

二、JS安全问题

1. 源码泄漏

JS文件的源码泄漏是一个常见的安全问题。由于JS文件通常在客户端执行，攻击者可以通过浏览器的开发者工具轻松获取JS文件的内容。源码泄漏可能导致以下问题：

代码审计：攻击者可以通过审计JS代码，发现潜在的安全漏洞。
JS逆向分析：攻击者可以通过逆向分析JS代码，绕过安全机制，实施攻击。

2. 未授权访问

通过分析JS文件中的接口URL，攻击者可能发现未授权访问的接口。这些接口可能允许攻击者访问敏感数据或执行未授权的操作。

3. 敏感Key泄漏

JS文件中可能包含敏感的Key信息，如API密钥、数据库连接字符串等。这些信息如果被泄露，可能会导致严重的安全问题。

4. API接口安全

JS文件中可能包含API接口的实现细节，如加密算法、参数传递方式等。攻击者可以通过分析这些信息，发现API接口的安全问题，如参数注入、未授权访问等。

三、流行的JS框架

1. Vue

Vue.js是一个用于构建用户界面的渐进式框架。它提供了简洁的API和灵活的组件化开发方式，广泛应用于各类Web应用。

2. Node.js

Node.js是一个基于Chrome V8引擎的JavaScript运行环境，用于构建高性能的网络应用。它提供了丰富的内置模块和第三方库，支持事件驱动和非阻塞I/O模型。

3. jQuery

jQuery是一个快速、小巧且功能丰富的JavaScript库。它简化了HTML文档的遍历、事件处理、动画效果和Ajax交互，广泛应用于各类Web应用。

4. Angular

Angular是一个用于构建动态Web应用的框架。它提供了完整的解决方案，包括模板、数据绑定、依赖注入等，支持构建复杂的单页应用。

四、如何判定JS开发应用

1. 插件检测

使用插件如Wappalyzer，可以检测网页所使用的JS框架和技术栈。

2. 源程序代码简短

JS开发的Web应用通常具有简短的源程序代码，主要逻辑通过JS文件实现。

3. 引入多个JS文件

JS开发的Web应用通常会引入多个JS文件，如app.js、main.js等。

4. 一般有/static/js/app.js等顺序的js文件

JS文件通常存放在特定的目录中，如/static/js/，文件名通常具有一定的规律。

5. 一般cookie中有connect.sid

JS开发的Web应用通常使用connect.sid作为会话标识，存储在Cookie中。

五、如何获取更多的JS文件

1. 手工-浏览器搜索

通过浏览器的开发者工具，可以手动搜索和查看JS文件。

2. 半自动-Burpsuite插件

使用Burpsuite插件，如BurpAPIFinder，可以半自动地获取JS文件。

3. 工具化-各类提取&FUZZ项目

使用专门的工具，如JSFinder、URLFinder等，可以自动化地提取JS文件和进行FUZZ测试。

六、如何快速获取价值信息

1. src=

通过搜索src=关键字，可以快速定位JS文件的引用路径。

2. path=

通过搜索path=关键字，可以快速定位文件路径和目录结构。

3. method:"get"

通过搜索method:"get"关键字，可以快速定位GET请求的接口。

4. http.get(")

通过搜索http.get(")关键字，可以快速定位GET请求的接口和参数。

5. method:"post"

通过搜索method:"post"关键字，可以快速定位POST请求的接口。

6. http.post(")

通过搜索http.post(")关键字，可以快速定位POST请求的接口和参数。

7. $.ajax

通过搜索$.ajax关键字，可以快速定位AJAX请求的接口和参数。

8. http://service.httppost

通过搜索http://service.httppost关键字，可以快速定位HTTP POST请求的接口。

9. http://service.httpget

通过搜索http://service.httpget关键字，可以快速定位HTTP GET请求的接口。

七、案例分析

1. 人工JS中提取URL信息

通过手动分析JS文件，提取出接口URL和后端地址。例如，通过搜索http://example.com/api，可以发现应用与后端服务的交互接口。

2. 从JS中提取到URL信息

使用工具如JSFinder，自动提取JS文件中的URL信息。例如，运行以下命令：

Python复制

python JSFinder.py -u http://example.com

3. 从JS中提取到敏感信息

通过搜索敏感关键字，提取JS文件中的敏感信息。例如，搜索apiKey、password等关键字，可以发现潜在的敏感信息泄漏。

4. 从JS中提取到配置信息

通过分析JS文件中的配置信息，了解应用的运行环境和配置细节。例如，搜索config.js文件，可以发现应用的配置信息。

5. 从JS中Fuzz提取到更多

使用工具如URLFinder，进行FUZZ测试，发现更多的接口和敏感信息。例如，运行以下命令：

Python复制

URLFinder.exe -u http://example.com -s all -m 3

6. WebPack打包器信息获取

通过分析WebPack打包器生成的JS文件，提取接口列表和配置信息。使用工具如Packer-Fuzzer，可以自动化地提取和分析WebPack打包器的信息。例如，运行以下命令：

Python复制

python PackerFuzzer.py -u http://example.com

八、项目插件工具

1. ffuf

ffuf是一个用Go编写的快速Web模糊测试程序，适用于快速发现Web应用中的接口和敏感信息。

2. HaE

HaE是一款网络安全框架式项目，采用乐高积木式模块化设计理念，实现对HTTP消息的精细化标记和提取。

3. JSFinder

JSFinder是一款快速提取JS文件中URL和子域名的工具，适用于快速发现Web应用中的接口和敏感信息。

4. URLFinder

URLFinder是一款快速、全面、易用的页面信息提取工具，适用于分析页面中的JS和URL，查找隐藏的敏感信息或未授权API接口。

5. Packer-Fuzzer

Packer-Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。

6. BurpAPIFinder

BurpAPIFinder是一款Burpsuite插件，用于发现未授权、敏感信息、越权、登录接口等。

7. LinkFinder

LinkFinder是一款Python脚本，用于在JS文件中发现接口和参数，适用于渗透测试和漏洞挖掘。

8. jjjjjjjjjjjjjs

jjjjjjjjjjjjjs是一款爬取网站JS文件，自动FUZZ API接口，指定API接口的工具，适用于前后端分离项目。

9. FindSomething

FindSomething是一款基于Chrome、Firefox插件的被动式信息泄漏检测工具，适用于快速提取网页中的敏感信息。

10. Unexpected_information

Unexpected_information是一款Burpsuite插件，用于标记请求包中的敏感信息、JS接口和特殊字段，防止疏忽重要数据包。

从JS文件中提取信息是渗透测试中的关键步骤。通过分析JS文件中的接口URL、后端地址、敏感信息、配置信息等，我们可以发现潜在的安全漏洞和敏感信息。利用各种工具和插件，如JSFinder、URLFinder、Packer-Fuzzer等，可以自动化地提取和分析JS文件中的信息，提高渗透测试的效率和效果。希望本文能够帮助你更好地理解和应用这些技术和工具，为你的网络安全工作提供有力支持。

6《CDN绕过技术深度解析》

在网络安全领域，CDN（内容分发网络）的使用已经非常普遍。CDN通过将内容缓存到离用户最近的节点，提高访问速度和稳定性。然而，CDN的使用也给安全研究人员带来了挑战，尤其是在信息收集和漏洞挖掘过程中。本文将详细介绍CDN的工作原理、配置方法，以及绕过CDN的各种技术手段。

一、CDN基础

1. CDN的工作原理

CDN通过在全球部署多个节点，将用户请求的内容缓存到离用户最近的节点，从而提高访问速度和稳定性。用户访问域名时，请求会被路由到最近的CDN节点，而不是直接访问目标服务器。这种架构在提高性能的同时，也隐藏了目标服务器的真实IP地址，增加了安全防护。

2. CDN的配置方法

CDN的配置通常包括以下几个方面：

加速域名：需要启用加速的域名，通常为主域名或子域名。
加速区域：需要启用加速的地区，可以根据业务需求选择特定区域。
加速类型：需要启用加速的资源类型，如静态资源、动态资源等。
其他配置：包括SSL证书、DNS解析记录等。

二、CDN绕过技术

1. 查询历史DNS记录

通过查询历史DNS记录，可以找到使用CDN前的IP地址。常用网站有DNSDB、微步在线、Netcraft、ViewDNS等。这些网站提供了历史DNS记录查询功能，可以帮助安全研究人员获取目标网站的真实IP地址。

2. 查询子域名

一些网站可能只对主站或流量大的子站点使用CDN。通过查询子域名对应的IP地址，可以辅助找到网站的真实IP。常用工具包括微步在线、Dnsdb查询法、Google搜索等。通过这些工具，可以发现未使用CDN的子域名，从而获取真实IP地址。

3. 网络空间引擎搜索

利用网络空间搜索引擎（如Shodan、Fofa、ZoomEye）搜索特定关键词或特征，可以找到使用CDN的网站的真实IP地址。这些搜索引擎可以扫描全球的网络设备，提供详细的设备信息和IP地址。

4. SSL证书查询

扫描互联网获取SSL证书，进而找到服务器的真实IP。Censys是一个用于搜索联网设备信息并扫描整个互联网的强大工具。通过查询SSL证书，可以获取到服务器的真实IP地址。

5. HTTP标头分析

通过比较HTTP标头来查找原始服务器。例如，使用SecurityTrails平台搜索特定HTTP标头，可以获取到服务器的真实IP地址。HTTP标头中可能包含服务器的详细信息，如服务器类型、版本等。

6. 网站源代码分析

浏览网站源代码，寻找独特的代码片段或隐藏的IP地址信息。有时，网站的源代码中可能包含服务器的真实IP地址或其他敏感信息。

7. 国外主机解析域名

由于一些CDN服务在国外地区可能无法提供完整的保护，使用国外的主机直接访问目标网站可能会获取到真实IP地址。通过这种方式，可以绕过CDN的防护，获取到目标服务器的真实IP。

8. 遗留文件利用

如phpinfo页面泄露，可能会显示服务器的外网IP地址。通过访问这些遗留文件，可以获取到服务器的真实IP地址。

9. 漏洞探针

利用网站上的漏洞（如SSRF漏洞）让VPS获取对方反向连接的IP地址。通过这些漏洞，可以绕过CDN的防护，获取到目标服务器的真实IP。

10. 网站邮件订阅

查看RSS邮件订阅的邮件源码，通常包含服务器的真实IP地址。通过分析这些邮件，可以获取到服务器的真实IP地址。

11. 全网扫描

使用Zmap、Masscan等工具对整个互联网进行扫描，针对扫描结果进行关键字查找，获取网站真实IP。通过全网扫描，可以发现目标服务器的真实IP地址。

12. 解码F5 LTM负载均衡器

当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码，可以获取到真实IP地址。通过分析这些关键字，可以获取到服务器的真实IP地址。

13. 利用MX记录

如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。通过查询MX记录，可以获取到服务器的真实IP地址。

14. 利用favicon.ico

查看网站的favicon.ico文件，通过其唯一的hash值进行识别，有时可以找到与网站相关的真实IP地址。通过分析favicon.ico文件，可以获取到服务器的真实IP地址。

15. 配置错误利用

检查CDN的配置细节，有时小小的配置错误就可能导致CDN防护被绕过。例如，CDN只配置了www域名，而直接访问非www域名可能获取到真实IP。通过分析CDN的配置，可以发现这些错误并获取到真实IP地址。

16. 协议差异利用

如果站点同时支持http和https访问，而CDN只配置了https协议，那么访问http可能获取到真实IP。通过利用协议差异，可以绕过CDN的防护，获取到目标服务器的真实IP。

17. 利用网站功能

通过网站提供的某些功能（如邮箱注册、找回密码等），让网站主动暴露真实IP地址。通过这些功能，可以获取到服务器的真实IP地址。

18. 搜索引擎查询

利用搜索引擎的特定查询语法（如site:和inurl:），结合目标网站的信息，可能找到与网站相关的真实IP地址。通过搜索引擎查询，可以获取到服务器的真实IP地址。

19. 子域名挖掘机

输入域名即可基于字典挖掘子域名，通过查找子域名的IP地址来辅助找到网站的真实IP。通过子域名挖掘机，可以发现未使用CDN的子域名，从而获取真实IP地址。

20. IP库查询

使用IP库（如纯真数据库）来查询IP段，结合网站特征进行爆破，可能找到真实IP地址。通过IP库查询，可以获取到服务器的真实IP地址。

三、CDN绕过案例

1. 案例1：结合关键字固定IP段找真实IP

1.1 判断加速厂商

通过查询CDN厂商信息，可以确定目标网站使用的CDN服务提供商。常用网站有：

1.2 IP库筛地址段

使用IP库（如纯真数据库）来查询IP段，结合网站特征进行爆破，可能找到真实IP地址。通过IP库查询，可以获取到服务器的真实IP地址。

1.3 配置范围扫描

使用全网扫描工具（如Zmap、Masscan）对特定IP段进行扫描，获取网站真实IP。通过全网扫描，可以发现目标服务器的真实IP地址。

2. 案例2：ico筛选资产+特征端口找真实IP

2.1 利用favicon.ico

2.2 特征端口扫描

通过扫描特定端口（如80、443、8080等），可以发现目标服务器的真实IP地址。通过端口扫描，可以获取到服务器的真实IP地址。

四、总结

CDN的使用在提高网站性能的同时，也增加了安全防护的复杂性。通过本文介绍的各种技术手段，安全研究人员可以绕过CDN的防护，获取到目标服务器的真实IP地址。在实际操作中，需要结合多种方法，灵活运用，才能有效绕过CDN的防护。希望本文能够帮助读者更好地理解CDN的工作原理和绕过技术，为网络安全研究提供有力支持。

7《Web应用开发框架与组件识别指南》

在Web应用开发中，各种开发框架和组件扮演着至关重要的角色。从Python的Django和Flask，到JavaScript的Vue和Node.js，再到PHP的ThinkPHP、Laravel和Yii，以及Java的Spring、Fastjson和Shiro，这些框架和组件不仅提高了开发效率，还为应用提供了丰富的功能和强大的性能。本文将详细介绍这些主流开发框架和组件的识别方法，帮助安全研究人员和开发者更好地理解和识别这些技术。

ICO图标：

1、某个应用系统的标示

2、某个公司/机构/个人团队的标示

一、Python开发框架

1. Django

1.1 识别插件

Django是一个高级的Python Web框架，它鼓励快速开发和干净、实用的设计。Django的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Django框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Django。

1.2 固定的数据包格式

Django框架在响应头中通常会包含特定的字段，如Set-Cookie。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Django。例如，Django的Set-Cookie字段通常会包含expires参数，这可以作为一个重要的识别特征。

2. Flask

2.1 识别插件

Flask是一个轻量级的Python Web框架，它以简单和灵活性著称。Flask的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Flask框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Flask。

2.2 固定的数据包格式

Flask框架在响应头中通常会包含特定的字段，如Etag和X-Powered-By。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Flask。例如，Flask的Etag字段通常会包含flask关键字，而X-Powered-By字段会明确显示Flask。

3. Tornado

3.1 识别插件

Tornado是一个强大的Python Web框架和异步网络库，它以高并发和高性能著称。Tornado的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Tornado框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Tornado。

3.2 固定的数据包格式

Tornado框架在响应头中通常会包含特定的字段，如Server。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Tornado。例如，Tornado的Server字段通常会显示TornadoServer。

二、JavaScript开发框架

1. Vue

1.1 识别插件

Vue.js是一个用于构建用户界面的渐进式JavaScript框架。Vue的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Vue框架。通过分析JavaScript文件和特定的响应内容，可以准确判断目标应用是否使用了Vue。

1.2 JS语法和加载文件

Vue框架在JavaScript文件中通常会包含特定的语法和加载文件。通过分析这些文件的内容和格式，可以进一步确认目标应用是否使用了Vue。例如，Vue的组件通常会包含data、methods、computed等关键字。

2. Node.js

2.1 识别插件

Node.js是一个基于Chrome V8引擎的JavaScript运行环境，广泛用于构建高性能的网络应用。Node.js的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Node.js。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Node.js。

2.2 固定的数据包格式

Node.js框架在响应头中通常会包含特定的字段，如ETag。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Node.js。例如，Node.js的ETag字段通常会包含W/关键字。

三、PHP开发框架

1. ThinkPHP

1.1 识别插件

ThinkPHP是一个快速、简单的面向对象的轻量级PHP框架。ThinkPHP的识别插件可以帮助安全研究人员快速识别目标应用是否使用了ThinkPHP框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了ThinkPHP。

1.2 固定的数据包格式

ThinkPHP框架在响应头中通常会包含特定的字段，如X-Powered-By。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了ThinkPHP。例如，ThinkPHP的X-Powered-By字段通常会显示ThinkPHP。

2. Laravel

2.1 识别插件

Laravel是一个优雅的PHP Web框架，它以简洁的语法和强大的功能著称。Laravel的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Laravel框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Laravel。

2.2 固定的数据包格式

Laravel框架在响应头中通常会包含特定的字段，如Set-Cookie。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Laravel。例如，Laravel的Set-Cookie字段通常会包含XSRF-TOKEN和laravel_session。

3. Yii

3.1 识别插件

Yii是一个高性能的PHP框架，它以高效、灵活和安全著称。Yii的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Yii框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Yii。

3.2 固定的数据包格式

Yii框架在响应头中通常会包含特定的字段，如Set-Cookie。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Yii。例如，Yii的Set-Cookie字段通常会包含YII_CSRF_TOKEN。

四、Java框架组件

1. Spring

1.1 识别插件

Spring是一个广泛使用的Java企业级应用开发框架，它以简化企业应用开发著称。Spring的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Spring框架。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Spring。

1.2 固定的数据包格式

Spring框架在响应头中通常会包含特定的字段，如X-Powered-By。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Spring。例如，Spring的X-Powered-By字段通常会显示Spring。

2. Fastjson

2.1 识别插件

Fastjson是一个高性能的JSON解析库，广泛用于Java应用中。Fastjson的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Fastjson。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Fastjson。

2.2 固定的数据包格式

Fastjson在处理JSON数据时，会将01解析为1。通过在提交的JSON数据包中修改测试，可以进一步确认目标应用是否使用了Fastjson。

3. Shiro

3.1 识别插件

Shiro是一个强大的Java安全框架，它以简单和灵活著称。Shiro的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Shiro。通过分析HTTP响应头和特定的响应内容，可以准确判断目标应用是否使用了Shiro。

3.2 固定的数据包格式

Shiro框架在响应头中通常会包含特定的字段，如Set-Cookie。通过分析这些字段的格式和内容，可以进一步确认目标应用是否使用了Shiro。例如，Shiro的Set-Cookie字段通常会包含rememberMe。

4. Solr

4.1 识别插件

Solr是一个高性能的全文搜索服务器，广泛用于Java应用中。Solr的识别插件可以帮助安全研究人员快速识别目标应用是否使用了Solr。通过分析网络端口和特定的响应内容，可以准确判断目标应用是否使用了Solr。

4.2 固定的数据包格式

Solr通常会开放8983端口，通过访问该端口可以进一步确认目标应用是否使用了Solr。

五、工具使用

1. Nuclei

Nuclei是一个快速、可定制的漏洞扫描器，由全球安全社区提供支持。Nuclei使用简单的YAML描述语言，可以帮助安全研究人员快速发现应用程序、API、网络、DNS和云配置中的漏洞。通过编写特定的YAML规则，可以实现对各种框架和组件的识别和扫描。

2. 参考资料

六、总结

通过本文的详细介绍，希望读者能够更好地理解和识别各种主流的Web应用开发框架和组件。这些框架和组件在提高开发效率的同时，也可能带来一些安全风险。安全研究人员和开发者应充分了解这些框架和组件的特性和潜在风险，采取相应的安全措施，确保应用的安全性和稳定性。希望本文能够为读者提供有价值的参考和帮助。

8《APP渗透测试：从公开信息到资产提取的全方位指南》

在移动互联网时代，APP应用已成为人们生活和工作中不可或缺的一部分。然而，随着APP应用的普及，其安全性也日益受到关注。APP渗透测试作为保障移动应用安全的重要手段，涵盖了从公开信息收集到资产提取的多个方面。本文将详细介绍APP渗透测试的范围、方法和工具，帮助读者全面了解这一领域。

一、APP渗透测试的范围

APP渗透测试的范围应涵盖APP的所有功能和组件，包括但不限于以下几个方面：

1. 前端安全

界面交互：检查APP的用户界面是否存在安全漏洞，如输入验证不足、会话管理不当等。
输入验证：确保APP对用户输入进行了充分的验证，防止SQL注入、XSS攻击等。
会话管理：检查会话管理机制是否安全，如会话固定、会话劫持等。

2. 后端安全

API接口：检查APP与后端服务器之间的API接口是否存在安全漏洞，如未授权访问、数据泄露等。
数据库交互：确保APP与数据库的交互是安全的，防止SQL注入、数据泄露等。
业务逻辑：检查APP的业务逻辑是否存在安全漏洞，如逻辑绕过、权限提升等。

3. 数据传输安全

加密：确保APP在数据传输过程中使用了强加密算法，防止数据被窃取。
签名：确保数据传输过程中使用了数字签名，防止数据被篡改。
完整性校验：确保数据传输过程中使用了完整性校验机制，防止数据被篡改。

4. 用户认证与授权

登录：检查APP的登录机制是否安全，如密码强度、登录尝试限制等。
注册：确保APP的注册机制是安全的，防止用户信息泄露。
权限分配：检查APP的权限分配机制是否合理，防止权限提升。
会话管理：确保会话管理机制是安全的，防止会话劫持。

5. 第三方库与组件

第三方库：检查APP使用的第三方库是否存在已知的安全漏洞。
SDK：确保APP使用的SDK是安全的，防止SDK引入安全风险。
插件：检查APP使用的插件是否存在安全漏洞。

6. 配置与环境

配置文件：检查APP的配置文件是否存在敏感信息泄露。
环境变量：确保APP的环境变量是安全的，防止敏感信息泄露。
日志管理：检查APP的日志管理机制是否安全，防止日志泄露敏感信息。

二、APP渗透测试的方法

1. 公开信息收集

通过搜索引擎、社交媒体、应用商店等渠道，收集目标APP的信息，如APP名称、版本、开发者、下载量等。这些信息可以帮助我们更好地了解目标APP的背景和特性。

查备案信息：通过备案信息可以了解APP的开发者和运营者信息。
网站上有APP下载：通过APP下载页面可以获取APP的版本信息和更新日志。
市场直接搜单位名称：通过应用商店搜索开发者名称，可以获取其开发的其他APP信息。

2. 资产信息提取

1. 动态抓包

使用工具如Burpsuite和Reqable进行动态抓包，可以实时捕获APP与服务器之间的通信数据。这种方法的优点是没有误报，但缺点是无法做到完整。

2. 静态提取-反编译

通过反编译APP的APK文件，可以获取APP的代码和资源文件。这种方法的优点是数据较为完整，但缺点是有很多无用的资产。

APKDeepLens：用于收集APP的权限、组件信息、IP、Secret等。

Python复制
```
python APKDeepLens.py -apk file.apk
```
APKLeaks：用于检查APK文件中的硬编码URL、API密钥等敏感信息。

Python复制
```
apkleaks -f file.apk
```
AppInfoScanner：对Android、iOS、WEB多场景应用进行信息扫描，收集IP、URL、Server、CDN等信息。

Python复制
```
python app.py android -i file.apk
```

3. 动态调试-反调试

通过动态调试工具如MobSF，可以实时监控APP的运行状态，绕过反调试机制。这种方法的优点是可以解决不能抓包不能代理的情况，但缺点是部分APP有反调试机制，无法做到完整。

三、APP渗透测试的工具

1. Burpsuite

Burpsuite是一款常用的Web应用安全测试工具，支持动态抓包和请求修改。通过Burpsuite，可以实时捕获APP与服务器之间的通信数据，进行安全测试。

2. Reqable

Reqable是一款用于HTTP请求分析的工具，支持动态抓包和请求修改。通过Reqable，可以实时捕获APP与服务器之间的通信数据，进行安全测试。

3. APKDeepLens

APKDeepLens是一款用于Android应用安全分析的工具，可以收集APP的权限、组件信息、IP、Secret等。通过APKDeepLens，可以全面了解APP的安全状况。

4. APKLeaks

APKLeaks是一款用于检查APK文件中硬编码URL、API密钥等敏感信息的工具。通过APKLeaks，可以发现APP中的敏感信息泄露。

5. AppInfoScanner

AppInfoScanner是一款适用于移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具，可以帮助渗透测试工程师快速收集到关键的资产信息。通过AppInfoScanner，可以全面了解APP的资产信息。

6. MobSF

MobSF是一款自动化的移动应用安全测试框架，支持静态和动态分析。通过MobSF，可以全面测试APP的安全性，发现潜在的安全漏洞。

四、APP渗透测试的案例

1. 案例1：通过公开信息收集发现APP的安全漏洞

通过搜索引擎和社交媒体，收集目标APP的信息，如APP名称、版本、开发者等。通过分析这些信息，发现APP存在安全漏洞，如未授权访问、数据泄露等。

2. 案例2：通过动态抓包发现APP的安全漏洞

使用Burpsuite进行动态抓包，捕获APP与服务器之间的通信数据。通过分析这些数据，发现APP存在安全漏洞，如未授权访问、数据泄露等。

3. 案例3：通过静态提取发现APP的安全漏洞

通过反编译APP的APK文件，获取APP的代码和资源文件。通过分析这些文件，发现APP存在安全漏洞，如硬编码URL、API密钥等敏感信息泄露。

4. 案例4：通过动态调试发现APP的安全漏洞

使用MobSF进行动态调试，实时监控APP的运行状态。通过分析调试结果，发现APP存在安全漏洞，如反调试机制、权限提升等。

五、总结

APP渗透测试是保障移动应用安全的重要手段，涵盖了从公开信息收集到资产提取的多个方面。通过使用各种工具和方法，可以全面了解APP的安全状况，发现潜在的安全漏洞。希望本文能够帮助读者更好地理解APP渗透测试，为移动应用的安全保障提供有力支持。

9微信小程序安全分析与源码解析：从信息收集到动态调试

前言

微信小程序作为一种轻量级应用，因其便捷性和强大的功能，已经成为开发者和用户的宠儿。然而，随着小程序的普及，其安全性问题也逐渐浮出水面。本文将从微信小程序的源码架构解析入手，深入探讨信息收集、逆向工程、动态调试等方面的技术细节，并结合实际工具和案例，帮助读者全面了解微信小程序的安全分析方法。

一、微信小程序源码架构解析

1.1 主体结构

微信小程序的主体结构由 app 和 page 两部分组成。app 部分负责整个小程序的全局配置和逻辑，而 page 部分则负责具体页面的展示和交互。

1.1.1 `app` 部分

app 部分由以下三个文件组成，必须放在项目的根目录：

文件	必需	作用
`app.js`	是	小程序逻辑
`app.json`	是	小程序公共配置
`app.wxss`	否	小程序公共样式表

1.1.2 `page` 部分

每个页面由以下四个文件组成：

文件	作用
`xxx.js`	页面逻辑
`xxx.json`	页面配置
`xxx.wxml`	页面结构
`xxx.wxss`	页面样式

1.2 项目整体目录结构

一个典型的小程序项目目录结构如下：

复制

├── pages                # 页面文件夹
│   ├── index            # 首页
│   ├── logs             # 日志
├── utils                # 工具类
│   ├── util             # 通用工具函数
├── app.js               # 入口js，全局逻辑
├── app.json             # 全局配置文件
├── app.wxss             # 全局样式文件
├── project.config.json  # 项目配置文件
├── sitemap.json         # 小程序及其页面的索引配置

1.3 关键文件解析

1.3.1 `app.json`

app.json 是小程序的全局配置文件，定义了小程序的基本信息和页面路径。例如：

JSON复制

{
  "pages": [
    "pages/index/index",
    "pages/logs/logs"
  ],
  "window": {
    "navigationBarBackgroundColor": "#ffffff",
    "navigationBarTextStyle": "black",
    "navigationBarTitleText": "WeChat",
    "backgroundColor": "#eeeeee",
    "backgroundTextStyle": "light"
  }
}

1.3.2 `app.js`

app.js 是小程序的入口文件，定义了全局的逻辑和生命周期函数。例如：

JavaScript复制

App({
  onLaunch: function () {
    console.log('App Launch');
  },
  onShow: function () {
    console.log('App Show');
  },
  onHide: function () {
    console.log('App Hide');
  }
});

1.3.3 `sitemap.json`

sitemap.json 用于配置小程序及其页面是否允许被微信索引。例如：

JSON复制

{
  "url": "https://example.com",
  "pages": [
    {
      "path": "index",
      "rule": "Disallow"
    }
  ]
}

二、信息收集：小程序抓包与分析

2.1 工具准备

在进行小程序的安全分析时，抓包工具是必不可少的。常用的抓包工具包括 Proxifier 和 Burp Suite。以下是工具的配置步骤：

2.1.1 Proxifier 配置

安装证书：将抓包工具的证书安装到系统的受信任和中间两个地方。
规则设置：在 Proxifier 的规则设置中，确保默认规则没有走代理。

2.1.2 Burp Suite 配置

安装证书：将 Burp Suite 的证书安装到系统的受信任和中间两个地方。
代理设置：配置 Burp Suite 的代理端口（默认为 127.0.0.1:8080）。

2.2 抓包流程

启动代理：启动 Proxifier 和 Burp Suite，并确保代理服务正常运行。
配置设备代理：在手机或模拟器上配置代理，指向电脑的 IP 地址和代理端口。
访问小程序：打开微信小程序，进行相关操作，抓取网络请求。
分析流量：在 Burp Suite 中分析抓取到的流量，重点关注敏感信息和接口调用。

2.3 测试内容

2.3.1 Web 安全测试

对抓到的 IP 或域名进行 Web 安全测试，包括但不限于：

SQL 注入
XSS 攻击
CSRF 攻击

2.3.2 API 安全测试

对抓到的 API 接口进行安全测试，包括但不限于：

接口未授权访问
接口参数篡改
接口返回数据敏感信息泄露

2.3.3 端口服务测试

对抓到的 IP 或域名进行端口扫描，检查是否存在未授权访问的端口和服务。

三、小程序逆向工程：解包、反编译与动态调试

3.1 工具介绍

3.1.1 Unveilr

Unveilr 是一款用于自动化反编译微信小程序的工具，支持解密、解包和还原工程目录。

3.1.2 KillWxapkg

KillWxapkg 是一款用于自动化反编译微信小程序的工具，支持解密、解包、还原工程目录，并支持 Hook 和小程序修改。

3.1.3 Wedecode

Wedecode 是一款全自动化工具，支持微信小程序 wxapkg 包的源代码还原和线上代码安全审计。

3.1.4 E0E1-WX

E0E1-WX 是一款用于微信小程序辅助渗透的自动化工具，支持信息收集、漏洞扫描和动态调试。

3.2 工具使用示例

3.2.1 Unveilr

下载工具：从 Unveilr GitHub 下载最新版本。
运行工具：在命令行中运行 unveilr -h 查看帮助信息。
解包小程序：使用命令 unveilr -i input.wxapkg -o output_dir 进行解包。

3.2.2 KillWxapkg

下载工具：从 KillWxapkg GitHub 下载最新版本。
运行工具：在命令行中运行 killwxapkg -h 查看帮助信息。
解包小程序：使用命令 killwxapkg -id=appid -in=input.wxapkg -out=output_dir 进行解包。

3.2.3 Wedecode

全局安装：在命令行中运行 npm i wedecode -g 进行全局安装。
运行工具：在命令行中运行 wedecode 启动工具。
解包小程序：在工具界面中选择需要解包的 wxapkg 文件，按照提示进行操作。

3.3 逆向工程流程

解包小程序：使用上述工具对小程序进行解包，获取源码文件。
分析源码：对解包后的源码进行分析，重点关注敏感信息和潜在的安全问题。
动态调试：使用工具对小程序进行动态调试，模拟用户操作，发现潜在的安全漏洞。

四、动态调试与安全评估

4.1 动态调试工具

4.1.1 Proxifier

Proxifier 是一款强大的代理工具，支持对网络请求进行代理和修改，适用于动态调试。

4.1.2 Burp Suite

Burp Suite 是一款专业的 Web 安全测试工具，支持对网络请求进行拦截、修改和分析，适用于动态调试。

4.2 动态调试流程

配置代理：在 Proxifier 和 Burp Suite 中配置代理，确保工具能够拦截和修改网络请求。
启动调试：启动微信小程序，进行相关操作，工具会自动拦截和记录网络请求。
分析请求：在工具中分析拦截到的网络请求，重点关注敏感信息和接口调用。
修改请求：对网络请求进行修改，模拟用户操作，发现潜在的安全漏洞。

4.3 安全评估

未授权访问测试：检查小程序是否存在未授权访问的接口和页面。
敏感信息泄露测试：检查小程序是否存在敏感信息泄露的问题，如用户数据、配置信息等。
漏洞扫描：使用工具对小程序进行漏洞扫描，发现潜在的安全漏洞。

五、总结与展望

微信小程序的安全分析是一个复杂而重要的过程，涉及信息收集、逆向工程、动态调试等多个方面。通过本文的介绍，希望读者能够对微信小程序的安全分析方法有更深入的了解，并在实际工作中加以应用。未来，随着小程序技术的不断发展，安全分析方法也将不断演进，我们需要持续关注和学习，以应对新的挑战。

10自动化工具在网络安全中的应用：环境部署、资产收集与管理

在网络安全领域，自动化工具的使用极大地提高了工作效率和准确性。本文将详细介绍一些常用的自动化工具及其在网络安全中的应用，包括环境部署、资产收集与管理等方面。

一、自动化工具概述

1.1 自动化工具的重要性

网络安全中的自动化工具能够帮助安全团队快速、准确地完成各种任务，如资产发现、漏洞扫描、渗透测试等。这些工具不仅提高了工作效率，还减少了人为错误，为安全团队提供了强有力的支持。

1.2 常见的自动化工具分类

环境部署工具：用于快速搭建和配置网络安全测试环境。
资产收集工具：用于收集目标企业的各种资产信息，如域名、IP、应用程序等。
网络空间测绘工具：用于扫描和分析网络空间中的资产，发现潜在的安全风险。
综合管理工具：用于管理和协调各种网络安全任务，提供一站式的解决方案。

二、自动化工具在环境部署中的应用

2.1 F8x：红蓝队环境自动化部署工具

2.1.1 项目介绍

F8x 是一款红蓝队环境自动化部署工具，支持多种场景，包括渗透测试、开发环境、代理环境等。它提供了灵活的服务选项，可以根据需求进行定制化配置。

2.1.2 项目地址

F8x GitHub 项目地址

2.1.3 配置与使用

2.1.3.1 安装环境

推荐使用 CF Workers 下载：

bash复制
```
wget -O f8x https://f8x.io/
```
或

bash复制
```
curl -o f8x https://f8x.io/
```

2.1.3.2 配置

运行 F8x：

bash复制
```
./f8x
```
配置文件：
- F8x 使用 config.yaml 文件进行配置，可以根据需求修改配置文件中的参数。

2.1.3.3 使用

启动 F8x：

bash复制
```
./f8x -c config.yaml
```
具体使用方法：
- 请参考 F8x 项目文档。

三、自动化工具在资产收集中的应用

3.1 ENScan_GO：企业信息收集工具

3.1.1 项目介绍

ENScan_GO 是一款基于各大企业信息 API 的工具，旨在解决在 HW/SRC 场景下遇到的各种针对国内企业信息收集难题。它能够一键收集控股公司 ICP 备案、APP、小程序、微信公众号等信息，并支持聚合导出。

3.1.2 项目地址

ENScan_GO GitHub 项目地址

3.1.3 配置与使用

3.1.3.1 安装

首次使用：

bash复制
```
./enscan -v
```
该命令会生成配置文件 config.yaml。

3.1.3.2 配置

配置文件：
- config.yaml 文件中需要配置 API 密钥和其他相关参数。
- Cookie 配置：
  - 对于 aqc（爱企查）和 tyc（天眼查）等数据源，需要配置相应的 Cookie 信息。

3.1.3.3 使用

快速使用：

bash复制
```
./enscan -n 小米 -invest 100
```
该命令会收集小米公司及其 100% 控股的公司信息。
批量查询：

bash复制
```
./enscan -f company_list.txt
```
该命令会从 company_list.txt 文件中读取公司名称，进行批量查询。

四、自动化工具在网络空间测绘中的应用

4.1 Yakit & TscanPlus：网络空间测绘工具

4.1.1 Yakit

4.1.1.1 项目介绍

Yakit 是一款基于 Yaklang 的网络安全领域专用编程语言（DSL）的工具，提供了丰富的功能，如漏洞扫描、反连检测、劫持测试等。它支持嵌入 Yaklang 脚本，实现 MITM 动态调试流量，随时动态执行代码。

4.1.1.2 项目地址

Yak Language 官方网站

4.1.1.3 配置与使用

安装 Yakit：

bash复制

bash <(curl -sS -L http://oss-qn.yaklang.com/install-latest-yak.sh)

下载 Yakit IDE：
- Yakit IDE 下载地址

4.1.2 TscanPlus

4.1.2.1 项目介绍

TscanPlus 是一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，构建基础资产信息库。它协助甲方安全团队或安全运维人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

4.1.2.2 项目地址

TscanPlus GitHub 项目地址

4.1.2.3 配置与使用

4.1.2.3.1 安装

下载软件：
- TscanPlus GitHub Releases
运行软件：
- 下载后直接运行，首次运行需同意《免责声明&使用许可》。

4.1.2.3.2 配置

Key 认证：
- 为了使用所有内置 POC，需要进行 Key 认证。
- 获取 Key：
  - 在 Poc 平台提交 POC 或在交流群/GitHub Issue 中提交有效 Bug。

4.1.2.3.3 使用

项目管理：
- 任务配置：
  - 在项目管理中配置任务，如资产测绘、子域名枚举、IP 端口扫描等。
- 执行任务：
  - 配置完成后，点击执行，TscanPlus 会自动进行相关操作。

五、自动化工具在综合管理中的应用

5.1 ARL & Nemo & TestNet：综合管理工具

5.1.1 ARL（Asset Reconnaissance Lighthouse）

5.1.1.1 项目介绍

ARL 是一款资产侦察灯塔系统，旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。它协助甲方安全团队或渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

5.1.1.2 项目地址

ARL GitHub 项目地址（升级版）
ARL-plus-docker GitHub 项目地址

5.1.1.3 配置与使用

5.1.1.3.1 安装

Docker 安装：

bash复制

docker run --privileged -it -d -p 5003:5003 --name=arl --restart=always docker.adysec.com/adysec/arl /usr/sbin/init

5.1.1.3.2 配置

配置 RabbitMQ：

bash复制

docker exec -it arl bash
rabbitmqctl start_app
rabbitmqctl add_user arl arlpassword
rabbitmqctl add_vhost arlv2host
rabbitmqctl set_user_tags arl arltag
rabbitmqctl set_permissions -p arlv2host arl ".*" ".*" ".*"

5.1.1.3.3 使用

访问 ARL 界面：
- 默认端口 5003 (https)，默认用户名密码 admin/arlpass。
创建任务：
- 在任务页面配置任务参数，如目标、扫描类型等。

5.1.2 Nemo_Go

5.1.2.1 项目介绍

Nemo 是一款用来进行自动化信息收集的简单平台，通过集成常用的信息收集工具和技术，实现对内网及互联网资产信息的自动收集，提高隐患排查和渗透测试的工作效率。Nemo 用 Golang 完全重构了原 Python 版本。

5.1.2.2 项目地址

Nemo_Go GitHub 项目地址

5.1.2.3 配置与使用

5.1.2.3.1 安装

Docker 安装：

bash复制

mkdir nemo; tar xvf nemo_linux_amd64.tar -C nemo; cd nemo
docker-compose up -d

5.1.2.3.2 配置

配置文件：
- 修改 conf/server.yml 和 conf/worker.yml 文件中的参数，如 RPC、fileSync 的 IP 和 authKey 等。

5.1.2.3.3 使用

启动 Nemo：

bash复制
```
docker-compose up -d
```

5.1.3 TestNet

5.1.3.1 项目介绍

TestNet 资产管理系统旨在提供全面、高效的互联网资产管理与监控服务，构建详细的资产信息库。该系统能够帮助企业安全团队或渗透测试人员对目标资产进行深入侦察和分析，提供攻击者视角的持续风险监测，协助用户实时掌握资产动态，识别并修复安全漏洞，从而有效收敛攻击面，提升整体安全防护能力。

5.1.3.2 项目地址

TestNet GitHub 项目地址

5.1.3.3 配置与使用

5.1.3.3.1 安装

克隆项目：

bash复制

git clone https://github.com/testnet0/testnet.git
cd testnet && bash build.sh

5.1.3.3.2 使用

快速入门：
- 参考快速入门指南。

六、总结

自动化工具在网络安全中的应用极大地提高了工作效率和准确性。通过使用这些工具，安全团队可以快速完成环境部署、资产收集、网络空间测绘和综合管理等任务。希望本文的介绍能够帮助读者更好地了解和使用这些工具，提升网络安全防护能力。

11信息收集与安全监控：公众号渠道、供应链拓展与信息泄露防护

在网络安全领域，信息收集是渗透测试和安全评估的重要环节。本文将详细介绍如何通过公众号渠道资产、供应链拓展以及信息泄露监控等手段，进行有效的信息收集和安全防护。

一、公众号渠道资产与第三方引入

1.1 公众号渠道资产

公众号作为一种重要的信息传播渠道，往往承载着丰富的资产信息。通过分析公众号的服务和内容，可以获取目标组织的大量信息。

1.1.1 官方服务

官方公众号通常提供组织的基本信息、服务内容和联系方式。这些信息可以作为初步的信息收集来源。

1.1.2 第三方资产

许多公众号会引入第三方服务，如预约挂号、缴费等功能。这些第三方服务往往由外部供应商提供，可能成为信息收集的突破口。

1.2 目标公众号服务获取

1.2.1 信息收集

通过分析公众号的功能和服务，可以获取目标组织的业务范围和技术架构。例如，某些公众号可能提供在线预约、缴费等功能，这些功能可能由第三方供应商提供。

1.2.2 第三方引入

第三方服务的引入可能会带来安全风险。通过分析第三方服务的提供商和技术架构，可以发现潜在的安全漏洞。

二、信息泄露监控：源码文档与敏感配置

2.1 Github监控

Github 是全球最大的代码托管平台，许多组织和个人会在上面托管代码。通过监控Github上的代码仓库，可以发现潜在的信息泄露。

2.1.1 资源搜索

使用Github的搜索功能，可以搜索包含特定关键字的仓库。例如：

bash复制

in:name test               # 仓库标题搜索含有关键字
in:description test        # 仓库描述搜索含有关键字
in:readme test             # Readme文件搜索含有关键字
stars:>3000 test           # stars数量大于3000的搜索关键字
stars:1000..3000 test      # stars数量大于1000小于3000的搜索关键字
forks:>1000 test           # forks数量大于1000的搜索关键字
forks:1000..3000 test      # forks数量大于1000小于3000的搜索关键字
size:>=5000 test           # 指定仓库大于5000k(5M)的搜索关键字
pushed:>2019-02-12 test    # 发布时间大于2019-02-12的搜索关键字
created:>2019-02-12 test   # 创建时间大于2019-02-12的搜索关键字
user:test                  # 用户名搜索
license:apache-2.0 test    # 明确仓库的LICENSE搜索关键字
language:java test         # 在java语言的代码中搜索关键字
user:test in:name test     # 组合搜索，用户名test的标题含有test的关键字

2.1.2 谷歌搜索配合

通过谷歌搜索，可以进一步扩大搜索范围。例如：

bash复制

site:github.com smtp
site:github.com smtp @qq.com
site:github.com smtp @126.com
site:github.com smtp @163.com
site:github.com smtp @sina.com.cn
site:github.com smtp password
site:github.com String password smtp

2.2 其他渠道

除了Github，其他渠道也可能存在信息泄露。例如：

bash复制

inurl:xxx.com filetype:xls
inurl:xxx.com password admin
site:xxx.com filetype:xls|doc|pdf

2.3 敏感信息监控

2.3.1 GShark

GShark 是一款用于敏感信息检测的工具，支持多种平台和灵活的规则配置。GShark GitHub 项目地址

2.3.2 FireEyeGoldCrystal

FireEyeGoldCrystal 是一款GitHub监控和信息收集工具，支持监控和收集CVE、免杀、漏洞利用等内置关键字和自定义关键字。FireEyeGoldCrystal GitHub 项目地址

2.3.3 Github-Monitor

Github-Monitor 是一款用于监控Github代码仓库的系统，可以及时发现企业内部代码泄露。Github-Monitor GitHub 项目地址

三、供应链拓展与目标旁路

3.1 供应链攻击

供应链攻击是一种典型的迂回攻击方式，攻击者通过目标企业的上下游供应商，找到软件或系统、管理上的漏洞，进而攻进目标企业内部。

3.1.1 商业购买系统

许多企业会购买商业系统，这些系统可能存在已知漏洞。通过分析这些系统的漏洞，可以进行供应链攻击。

3.1.2 软件开发商

软件开发商的代码和系统可能存在漏洞。通过分析开发商的代码和系统，可以发现潜在的安全风险。

3.1.3 外包业务

外包业务可能涉及敏感信息。通过分析外包业务的流程和系统，可以发现潜在的安全漏洞。

3.2 供应链信息收集

3.2.1 ico拓展

通过分析目标组织的ico文件，可以找到供应链信息。例如，某些ico文件可能包含开发商的名称或特征。

3.2.2 演示站点

许多软件开发商会提供演示站点。通过分析这些站点，可以发现潜在的安全漏洞。

3.2.3 成功案例

通过分析目标组织的成功案例，可以找到供应链信息。例如，某些成功案例可能提到使用的系统或开发商。

3.3 案例分析

3.3.1 教育EDU证书站挖掘

通过供应链思路，可以挖掘教育系统的漏洞。教育EDU证书站挖掘文章

3.3.2 供应链导致教育漏洞通杀

通过供应链攻击，可以通杀多个学校的漏洞。供应链导致教育漏洞通杀文章

3.3.3 授权渗透通过供应链拿到目标后台权限

通过供应链攻击，可以获取目标后台权限。授权渗透通过供应链拿到目标后台权限文章

四、总结

信息收集和安全监控是网络安全的重要环节。通过公众号渠道资产、供应链拓展和信息泄露监控等手段，可以有效地进行信息收集和安全防护。希望本文的介绍能够帮助读者更好地理解和应用这些技术。