探秘CNVD FOFA Gather:一款高效网络安全扫描工具

最新推荐文章于 2024-08-07 11:06:47 发布
最新推荐文章于 2024-08-07 11:06:47 发布
阅读量380 收藏 5
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00088/article/details/137135402
版权

探秘CNVD FOFA Gather:一款高效网络安全扫描工具

项目简介

是一个开源项目,旨在帮助网络安全专业人员和研究人员快速、大规模地搜集中国国家网络与信息安全通报中心(简称CNVD)中涉及的漏洞信息,并结合FOFA搜索引擎进行关联分析。通过这款工具,用户能够更好地理解和预防潜在的安全威胁,提高网络防御能力。

技术解析

该项目基于Python编写,利用了如下核心技术和库:

  1. CNVD API - 项目直接调用了CNVD提供的API接口,获取最新的安全漏洞数据。
  2. FOFA SDK - 集成了FOFA的SDK,实现对FOFA搜索引擎的查询和结果解析。
  3. 多线程 - 利用Python的concurrent.futures模块进行多线程处理,加速数据收集和分析。
  4. JSON - 数据以JSON格式存储,便于处理和分析。
  5. 命令行界面 - 提供友好且直观的命令行交互,易于操作。

应用场景

  • 安全漏洞研究 - 快速获取和分析CNVD发布的最新安全漏洞信息,对于研究趋势或特定漏洞有极大帮助。
  • 网络风险评估 - 结合FOFA的全球资产数据,可以评估组织或个人网络中存在的暴露风险。
  • 应急响应 - 在发现重大安全事件时,此工具可以帮助迅速定位受影响的系统并采取措施。
  • 教育与培训 - 对于网络安全学习者来说,它是实践网络侦查和防御策略的一个宝贵工具。

特点与优势

  1. 自动化搜集 - 自动抓取CNVD和FOFA的数据,节省手动搜索的时间。
  2. 实时性 - 定期更新,确保获得的漏洞信息是最新最准确的。
  3. 可定制化 - 用户可以根据需要自定义查询参数,如指定漏洞类型、影响范围等。
  4. 易用性 - 简单的命令行操作,无需复杂的配置。
  5. 开放源代码 - 允许用户根据自身需求进行修改和扩展。

如何开始使用

要开始使用CNVD FOFA Gather,首先确保你的环境已安装Python,然后克隆项目的Git仓库:

git clone .git

进入项目目录并安装依赖:

cd cnvd_fofa_gather
pip install -r requirements.txt

按照README文件中的说明,配置FOFA的API密钥,并运行程序。

通过CNVD FOFA Gather,您可以更有效地管理和应对网络安全挑战,为您的数字世界构建一道坚实的防护墙。我们鼓励所有对此感兴趣的技术爱好者和专业人员尝试并参与到这个项目中来,共同提升网络安全性。

宋溪普Gale
关注
cnvd出报告专用.docx
06-19
文件内容:包含cnvd的各种漏洞详情——危害——修复建议;直接复制—粘贴即可完成报告;即可用于写渗透测试报告,也可提交各种src
CVE和全球安全漏洞库(NVD, CNNVD, CNVD) 在软件安全检测和验收中的最佳分析工具
热门推荐
weixin_42080971的博客
04-27 1万+
网址 全球信息安全漏洞库文件检测服务http://cvescan.com 全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库,美国国家信息安全漏洞库,赛门铁克漏洞库等等。这些漏洞库常见的做法是披露漏洞的形成原因和修复方法, 对如何检测漏洞却很少提及。缺少高效且准确的安全漏洞检测机制成为了制约漏洞库利用效率的一个障碍。 另一方面,国内各个软件项目的验收阶段和第三方评测中心在验收过程中,普遍侧...
cnvd证书获取新思路—通过fofa自带的fid参数获取通用系统
最新发布
weixin_46148739的博客
08-07 450
现在现存的cnvd挖掘脚本判断逻辑都较为简陋,都是通过公司名称搜索,之后获取一个标题进行判断是否为通用系统,存在较大的误报情况,此脚本在此基础上增加通过fofa自带的参数fid进行搜索获取,进一步精准获取符合条件的通用系统,方便挖掘cnvdZS。(FID(FeatureID)是FOFA自己设定的指纹信息)
探索新技术利器:New CNVD FOFA Gather - 数据抓取与情报收集的新选择
gitblog_00097的博客
04-23 448
探索新技术利器:New CNVD FOFA Gather - 数据抓取与情报收集的新选择 项目地址:https://gitcode.com/colind0pe/new_cnvd_fofa_gather 项目简介 在信息安全和数据分析领域,有效的信息收集是关键的一环。New CNVD FOFA Gather 是一个由Colind0pe开发的开源工具,它利用FOFA搜索引擎进行网络资产扫描,帮助用户快...
fofa第一个查找漏洞
小小猪的博客
12-14 2662
fofa第一个查找漏洞 注意: 该教程用于传授知识,有犯罪概不负责 fofa搜索: app="ACTi-视频监控" 打开一个网址 输入出厂密码admin/123456 可以看到成功登录进去
巧秒利用fofa挖到第一个漏洞
hackzkaq的博客
07-14 1万+
FOFA一款非常强大的搜索引擎 关于对于fofa的描述是:FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。 探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。 相对于shodan来说fofa的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。 fofa的功能这么强大,那我们要怎么利用好提供的功能来挖洞呢? fofa官方提供了一些基本语法: 图片 而真正
fofa爬虫(刷漏洞平台好方法)
xxx9686的博客
09-20 628
关键词一行一个,fofa.txt文本内容为关键词,target内容为结果,直接与Xray_Rad_Fusion放在同一个目录下执行即可联动。创建两个文本,文本名:fofa.txt+target.txt。支持多关键词爬虫,适合于rad+xray联动。可挂在服务器上刷漏洞。
使用FofaSpider和Python联动批量挖洞
realmels的博客
03-12 719
这里说的挖洞不是说用大型漏洞扫描器对站点进行全站扫描得到漏洞,而是在你已经发现某个资产的漏洞后,或者使用互联网上的公开漏洞,将漏洞资产最大化。原理其实很简单,确定目标->目标收集(Fofa爬虫)->编写Python脚本->验收成果在网上很多漏洞没有被修复,即使是nday,甚至是很多年前的漏洞,也可以在Fofa上找到很多。即使是2014年的HeartBleed漏洞,在互联网上也可以找到很多案例(因为我扫出过)。后续你可以通过这些漏洞资产进行反查域名并上交SRC,这是后话,看你喜欢。
向日葵漏洞扫描工具 CNVD-2022-10270
03-05
向日葵漏洞扫描工具
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 127.0.0.1 www.baidu.com www.google.com 2...
web安全渗透测试工具篇(一):快速发现漏洞之漏洞综合扫描和联动
HACKONE的博客
05-24 333
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件,Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 9717
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
SRC漏洞挖掘--CNVD国家信息安全漏洞共享平台
youmaob的博客
03-27 3812
SRC漏洞挖掘--CNVD国家信息安全漏洞共享平台
如何拿下CNVD原创证书
红队是青春
05-26 1万+
# 如何拿下CNVD原创证书 看见别人拿,我一个大二生,也想来几发,虽然我已经入职,但我也有虚荣心,于是我尝试了很久,最后发现原来获得CNVD原创证书,如此容易! 今年是2021年,我从5月份就开始对CNVD证书下手了,一开始我是往大厂商方向走,发现自己压根没那水平挖,因为一般来说,大厂商网站一般会有三层防护——CDN->DDOS->WAF,得过了这三层防护才能进行一个很舒服的信息收集,不然一不小心就被ban了,所以一开始最好从小厂商入手,先打点漏洞编号,想拿下CNVD原创证书,我们必须得.
CNVD通用性漏洞挖掘小知识之灰盒测试
qq_52074678的博客
03-17 5631
CNVD漏洞黑盒挖掘 二CNVD原创漏洞积分与奖励(京东卡) 三漏洞挖掘之后如何提交以及总结 360quake: https://quake.360.cn/quake/#/index Fofa: https//fofa.so/ Zoomeye:https://www.zoomeye.org/ 使用网络空间搜索引擎fofa,zoomeye,360quake,结合天眼查查资产进行搜索 黑盒挖掘通用型漏洞 (1)关键字搜索 天眼查查注册资金 (2) (3)cnvd查找已知漏洞厂商 百度找相
急速水CNVD证书,小水怡情、大水伤身、强水灰飞烟灭
Love&Share
12-12 6623
文章目录收录标准刷洞方法审核流程 从另一个角度,以黑盒的方式快速刷CNVD通用漏洞证书 https://www.cnvd.org.cn 首先要明确什么样的通用漏洞可以发证书 收录标准 这里的收录标准是能获得证书的标准 事件型 事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书 通用型 中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0) 软件开发商.
记第一挖掘CNVD通用(无证书)
da_chuan_chuan的博客
01-13 4406
文章目录前言一、CNVD通用挖掘过程二、公益SRC100+总结 前言 本文主要分享自己第一次挖掘到通用型漏洞的经历,漏洞是2021年挖掘到的,由于自己比较懒惰现在才来记录。主要是想记录自己第一次挖掘到通用的喜悦之情。自己挖掘思路比较low,各位大佬看到了,勿喷。 一、CNVD通用挖掘过程 本次通用型挖掘并没有进行代码审计,主要是运气好,在一次盲注中发现。当时自己在批量提交公益SRC,想混混排名(但是一直上不去,还是太懒惰,以后挖洞要勤快一点儿了),发现有两三个站点的内容布局大致相似,自己判断是属于同一个
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋溪普Gale

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值