web信息收集

系统架构分类

1.程序语言

2.框架源码

3.搭建平台

4.数据库

5.操作系统

指纹识别方式

1.人工判断

        不同的架构环境会呈现不一样的特征例如这篇文章 https://forum.butian.net/share/1679

2.平台和插件

        wappalyzer                https://www.wappalyzer.com/   浏览器插件

        云悉指纹                    https://www.yunsee.cn/        平台，需要邀请码

        cmsmap                     https://github.com/BrianHeeseIs/CMSmap        开源cms检测程序

        cmsseek                    https://github.com/Tuhinshubhra/CMSeeK         开源cms检测程序

域名收集

主域名

        1、查询企业备案信息

        2、查看企业注册域名

        3、反查解析域名            ->通过一个域名信息的关联信息查询其他域名信息

        4、企业产权

子域名

        1、DNS信息

https://dnsdumpster.com/

        2、证书查询

由于很多企业的域名都用了 https 协议，TLS证书里面一般包含域名信息，公司组织名称等，子域名中的证书信息一般情况也是一样的，常见的证书查询网站如下

https://crt.sh/
https://search.censys.io/
https://sslmate.com/certspotter/api/
https://developers.facebook.com/tools/ct

        3、网络空间

https://hunter.qianxin.com/

https://fofa.info/

https://www.shodan.io/

        4、威胁情报

常用的网站如下：
https://x.threatbook.com/
https://www.virustotal.com/gui/home/search
https://otx.alienvault.com/
https://community.riskiq.com/
https://www.threatminer.org/

        5、枚举解析

https://github.com/lijiejie/subDomainsBrute

https://github.com/yanxiu0614/subdomain3

https://github.com/shmilylty/OneForAll

在线子域名扫描（被动信息收集）

http://z.zcjun.com/

https://scan.javasec.cn/

源码获取 

1.版本管理工具泄露

1. git        
2. svn
3. ds_store

        利用工具

        https://github.com/0xHJK/dumpall

2.压缩备份

        备份的压缩包放在网站下可以被访问下载

3.composer

        composer.json泄漏

        composer.josn就像是一个网站说明性文件，里面可能会包括源码

4.码云资源搜索

平台

• github
• gitee

信息搜索

• qq号
• 邮箱地址
• 作者名
• 注释关键信息

特征关键文件

• js文件名
• 脚本文件名

js前端

识别

• 插件wappalyzer
• 源代码程序简短
• 引入多个js文件
• 一般有/static/js/app.js等顺序文件
• 一般cookie中有connnect.sid

框架

        VUE Node JS Jquery等

安全

• 源码泄露（前端代码可以直接在浏览器中看见）
• js里面提取更多url访问确定接口路径
• js文件中可能配置了一些接口信息（短信、邮件、数据库等key泄露）

测试方法

• 游览器审查元素筛选js文件
• 全局搜索关键字 src=、path=、method:"get"、http.get"、method."post"等
• burpsuite 自带功能 target -> sitemap -> engagementtools -> find scripts
• burpsuite官方插件JS Miner、JS Link Finder
• 爆破js工具ffuf

设备平台

WAF

1.分类

• 云waf                  安全性最高   一般都是各大安全厂商的云平台 实时性和扩展性强
• 硬件waf              安全性强，但是扩展性和实时性不高
• 软件waf              例如安全狗之类的waf
• 代码级waf           代码中做了各种校验

2.识别

• 拦截页面判断
• 通过工具项目判断例如wafw00f

蜜罐 

蜜罐作为守护方反击攻击方的手段，通过部署蜜罐诱导攻击方访问，可以捕获攻击方手法，目的，了解攻击习惯

1.分类

• 低交互蜜罐
• 中交互蜜罐
• 高交互蜜罐

2.功能

• web蜜罐
• 工控蜜罐
• 数据库蜜罐
• 物联网蜜罐

3.识别

• 工具项目例如quake_rs
• 人工分析 1.端口多而有规律性 2.web访问协议就下载 3.设备指纹分析
• 网络空间 鹰图、quake

CDN

1.识别

• nlookup
• 多地ping

2.绕过

• 子域名绕过
• 国外访问绕过
• 反向获取，让对方服务器访问我们，例如邮箱系统、漏洞利用、遗留文件
• 全网扫描
• 证书查询
• app抓包
• 网络空间
• 以量打量
• 第三方接口查询等

3.工具平台

• 网络空间fofa增值业务
• get-site-ip.com

框架组件 

语言

php框架

• yii
• laravel
• thinkphp

java框架组件

• log4j
• shiro
• sorl
• springboot
• struts2
• ......

python框架

• fask
• Django

特性

• 看response返回包
• 固定端口开放
• ico图标识别
• 特有的url路径后缀

识别技术

• 端口扫描 nmap
• 网络空间 fofa
• 识别插件 wappalyzer     

端口扫描 

状态码

• close
• open
• filtered

工具

• nmap
• masscan
• 网络空间搜索引擎

意外环境（实际结果和扫描结果不一致）

• 防火墙开放                  开放了端口但是扫不出来
• 内网服务器                  你扫描到的只是最后出网的服务器
• web反向代理