从零开始学习网络安全渗透测试之信息收集篇——（一）Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

love6a6

于 2024-08-14 10:18:17 发布

阅读量747

点赞数 11

文章标签：网络安全

本文链接：https://blog.csdn.net/love6a6/article/details/141135958

版权

一、Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报

什么是信息收集？
明确目标之后，我们要对目标的信息进行收集，有时候甲方进行授权时，给我们的信息很少，刁难你一下，比如就给你一个IP地址，让你自己找一下我们有多少域名、IP地址、对外资产信息有哪些等等，我们就需要自行模拟黑客攻击流程，对企业的各类信息进行收集，其实不管是企业也好，还是你自己个人也好，想要测试某个网站的安全性，都要对这个网站的各类信息进行收集。
当我们要对一个站点进行渗透测试之前，一般渗透测试人员常见方法是直接通漏洞扫描器来对指定目标站点进行渗透，当指定的目标站点无漏洞情况，渗透测试员就需要进行信息收集工作来完成后期的渗透工作。

一、业务资产

比如用网站进行查询及工具进行扫描：
企业法人、电话号码、电子邮箱、域名、IP地址、开放端口、开放服务等等。

序号	名称	网址	备注
1	爱企查	https://www.aiqicha.com/	某宝购买7天会员
2	小蓝本	https://sou.xiaolanben.com/pc
3	ICP备案查询	https://www.beianx.cn/search
4	备案查询	http://icp.bugscaner.com/
5	SSL证书查询	https://crt.sh/
6	360安全大脑	https://ti.360.cn/

1.WEB应用

域名：备案信息查询到姓名、电话、地址等信息；通过IP地址反查域名；
子域名：一般一个企业都会有很多的域名(二级、三级等域名)，提供着不同的网站服务，比如公司后台管理系统(admin.baidu.com)，公司邮箱系统(email.baidu.com)，公司新闻系统(new.baidu.com)，都只是举例子打比方昂，并不一定真实存在，我们要自行探测和收集。
备案号查询：一个域名如果想应用到自己的网站，并且客户可以在外网通过这个域名访问到你的网站，那么这个域名首先需要购买，然后还要对域名进行备案，才能使用，所以通过查询系统域名备案号，再反查备案号相关的域名，也能收获很多的信息。
SSL证书查询：我们学过http和https了，很清楚的知道，如果我们是一个公司，做了一个网站，想要使用https协议来传输数据，那么我们需要注册和安装ssl证书，所以我们可以通过ssl证书的查询，也能获取一些信息。
查询网址:
https://myssl.com/ssl.html
https://www.chinassl.net/ssltools/ssl-checker.html
https://crt.sh/
CDN：内容分发网络（ContentDeliveryNetwork，CDN）是在现有Internet中增加的一层新的网络架构，由遍布全球的高性能加速节点构成。这些高性能的服务节点都会按照一定的缓存策略存储您的业务内容，当您的用户向您的某一业务内容发起请求时，请求会被调度至最接近用户的服务节点，直接由服务节点快速响应，有效降低用户访问延迟，提升可用性。
超级ping：超级ping能进行多地ping某个网址，可以理解为多个地域对同一个域名进行ping操作，就会看到大家ping出来的ip地址不同，看到下图，应该就是CDN了。
关于TTL值：TTL值全称是“生存时间（TimeToLive)”，简单的说它表示DNS记录在DNS服务器上缓存时间。
关于DNS攻击：（1）DNS劫持就是指用户访问一个被标记的地址时，DNS服务器故意将此地址指向一个错误的IP地址的行为。例如：网通、电信、铁通的某些用户有时候会发现自己打算访问一个地址，却被转向了各种推送广告的网站，这就是DNS劫持。还有在某些地区的用户在成功连接宽带后，首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。（2）DNS污染，DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法，是一种DNS缓存投毒攻击（DNScachepoisoning）。其工作方式是：由于通常的DNS查询没有任何认证机制，而且DNS查询通常基于的UDP是无连接不可靠的协议，因此DNS的查询非常容易被篡改，通过对UDP端口53上的DNS查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS，NameServer）给查询者返回虚假结果。而DNS污染则是发生在用户请求的第一步上，直接从协议上对用户的DNS请求进行干扰.比如：目前一些被禁止访问的网站很多就是通过DNS污染来实现的，例如YouTube、Facebook等网站。
Google Hack：使用Google等搜索引擎对某些特定的网络主机漏洞（通常是服务器上的脚本漏洞）进行搜索，以达到快速找到漏洞主机或特定主机的漏洞的目的。Google毫无疑问是当今世界上最强大的搜索引擎。然而，在黑客手中，它也是一个秘密武器，它能搜索到一些你意想不到的信息。
- inurl:用于查找含有该值的所有url网址网页。例：inurl:mail（可找一些免费邮箱）
- related:：找出和该网址类似的网站，比如想知道和amazon.com类似的大型网络书店有哪些时输入amazon.com网址。例：related:amazon.com。
- intext:只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字).
- filetype:搜索通过文件的后缀或者扩展名来搜索含有这类文件的网页。
- intitle:标题中存在关键字的网页。
字典枚举法：字典枚举法是一种传统查找子域名的技术，这类工具有 DNSReconcile、Layer子域名挖掘机、DirBuster、OneforAll等。

2.APP应用

APP逆向工程：
正向开发：开发–编译–加密(加固)等–打包
逆向破解：解包–解密(脱壳)–反编译–查看内容【通过Android Killer反编译app】

APK文件的下载网址
http://www.d9soft.com/anzhuo/863.html
http://www.appchina.com/game

3.PC端应用

4.小程序应用

5、微信公众号

现在好多企业都会做自己的微信公众号，这些公众号里面其实能够找到很多的域名信息和漏洞，公众号一般都是用手机来访问的，那么如果来获取这些信息呢，这就要借助到抓包工具了，抓包工具能够帮我们抓取到网络请求的数据包，其实不管是app还是网站，他们的功能中有很多是需要网络交互来完成的，比如抖音想展示一些视频给大家看，那么打开抖音软件的一瞬间，其实是安装在你手机上的app给抖音的后台发送了网络请求，去要视频数据去了，这时候我们就可以通过抓包工具抓取到这个请求，请求中肯定会有一些域名地址信息，这样的话你肯定会有一些意外的收获。抓包工具有很多，我有个教程是专门介绍这些抓包工具的【打开教程】，现在windows下比较常用的抓包工具有Burpsuite、Wireshark、Fiddler等等，另外其实手机上也有一些抓包工具，但是手机上玩起来虽然能看到一些网络数据包信息，但是操作不太方便，像这些都叫做HTTP调试抓包工具。

6.其它应用

二、Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

web应用包括：程序语言、框架源码、搭建平台、数据库类、操作系统

2.1源码泄漏

源码获取：指纹识别开源CRM等。

2.2开源闭源

泄露方案：
git
svn
ds_store
备份类
composer
文件搜索：
js文件名
脚本文件名
信息搜索
qq邮箱
作者名
注释信息
GitHub
gitee
oschina

2.3指纹识别

TideFinger——指纹识别小工具，汲取整合了多个web指纹库，后面有相关工具地址。

三、信息收集工具

3.1资产发现工具

项目简介	项目地址	项目名称
reconFTW 集成了30个工具的信息收集利器	https://github.com/six2dez/reconftw	reconftw
资产无限巡航扫描系统	https://github.com/awake1t/linglong	linglong
SRC子域名资产监控	https://github.com/LangziFun/LangSrcCurise	LangSrcCurise
快速侦察与目标关联的互联网资产，构建基础资产信息库。	https://github.com/TophantTechnology/ARL	ARL(灯塔)
集成GoogleHacking语法来进行信息收集	https://github.com/TebbaaX/GRecon	Grecon
从第三方平台获取目标网页内容	https://github.com/tomnomnom/waybackurls	waybackurls
从多个网站提取目标相关信息	https://github.com/lc/gau	gau
集合了多个网络测绘平台，可以快速在多个网络测绘平台搜索信息并且合并展示及导出。	https://github.com/ExpLangcn/InfoSearchAll	InfoSearchAll
调用fofa\ZoomEye\360quake的官方api—GUI界面	https://github.com/xzajyjs/ThunderSearch	ThunderSearch
集成多个网络资产测绘平台的搜索工具	https://github.com/Kento-Sec/AsamF	AsamF
一个简单实用的FOFA客户端 By flashine	https://github.com/wgpsec/fofa_viewer	fofa_viewer
0_zone_zpi脚本	https://github.com/lemonlove7/0_zone	0_zone
icp备案查询、企业资产快速收集工具	https://github.com/SiJiDo/IEyes	IEyes
一款基于各大企业信息API的工具	https://github.com/wgpsec/ENScan_GO	ENScan_GO
基于斗象灯塔ARL修改后的版本。相比原版，增加了OneForAll、中央数据库，修改了altDns	https://github.com/ki9mu/ARL-plus-docker	ARL-plus-docker
灯塔（最新版）指纹添加脚本！	https://github.com/loecho-sec/ARL-Finger-ADD	ARL-Finger-ADD

3.2子域名收集工具

项目简介	项目地址	项目名称
在线子域名收集	https://rapiddns.io/subdomain	在线收集
ksubdomain 无状态子域名爆破工具	https://github.com/knownsec/ksubdomain	ksubdomain
一款功能强大的子域收集工具	https://github.com/shmilylty/OneForAll	oneforall
通过使用被动在线资源来发现网站的有效子域	https://github.com/projectdiscovery/subfinder	subfinder
src子域名监控	https://github.com/LangziFun/LangSrcCurise	LangSrcCurise
从 github 上发现子域名	https://github.com/gwen001/github-subdomains	github-subdomains
Layer子域名挖掘机	https://github.com/euphrat1ca/LayerDomainFinder	Layer
好用且强大的子域名扫描工具	https://github.com/yunxu1/dnsub	dnsub

3.3目录扫描工具

项目简介	项目地址	项目名称
Web path scanner 目录扫描工具	https://github.com/maurosoria/dirsearch	dirsearch
用Rust编写的快速，简单，递归的内容发现工具	https://github.com/epi052/feroxbuster	feroxbuster
Directory/File, DNS and VHost busting tool written in Go	https://github.com/OJ/gobuster	gobuster
用Go编写的模糊测试工具	https://github.com/ffuf/ffuf	ffuf
Next Generation HTTP Dir/File Fuzz Tool	https://github.com/chainreactors/spray	spray
Fast passive URL enumeration tool.	https://github.com/chainreactors/urlfounder	urlfounder
一个高级web目录、文件扫描工具	https://github.com/H4ckForJob/dirmap	dirmap
网站的敏感目录发掘工具	https://github.com/deibit/cansina	cansina
御剑后台扫描工具珍藏版	https://www.fujieace.com/hacker/tools/yujian.html	御剑
使用GoLang开发的目录/子域扫描器	https://github.com/ReddyyZ/urlbrute	urlbrute
御剑目录扫描专业版	https://github.com/foryujian/yjdirscan	yjdirscan
类似JSFinder的golang实现，更快更全更舒服	https://github.com/pingc0y/URLFinder	URLFinder
爬虫可以发现搜索引擎发现不了的目录	https://github.com/jaeles-project/gospider	gospider
katana 是 projectdiscovery 项目中的一个网页链接抓取工具，可以自动解析js文件。新一代爬行框架。	https://github.com/projectdiscovery/katana	katana
dontgo403 是一个绕过 40X 错误的工具。	https://github.com/devploit/dontgo403	dontgo403
从JavaScript中提取URL、路径、机密和其他有趣的部分	https://github.com/BishopFox/jsluice	jsluice

3.4指纹识别工具

项目简介	项目地址	项目名称
红队重点攻击系统指纹探测工具	https://github.com/EdgeSecurityTeam/EHole	EHole(棱洞)2.0
跨平台指纹识别工具	https://github.com/0x727/ObserverWard	ObserverWard
Glass是一款针对资产列表的快速指纹识别工具	https://github.com/s7ckTeam/Glass	Glass
一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具	https://github.com/EASY233/Finger	Finger
Golang实现Wappalyzer 指纹识别	https://github.com/projectdiscovery/wappalyzergo	wappalyzergo
功能齐全的Web指纹识别和分享平台，内置了一万多条互联网开源的指纹信息。	https://github.com/b1ackc4t/14Finger	14Finger
一个web应用程序指纹识别工具	https://github.com/urbanadventurer/WhatWeb	Whatweb
TideFinger——指纹识别小工具，汲取整合了多个web指纹库	https://github.com/TideSec/TideFinger	TideFinger

3.5端口扫描工具

项目简介	项目地址	项目名称
naabu 用 go 编写的快速端口扫描器	https://github.com/projectdiscovery/naabu	naabu
TXPortMap 实用型的端口扫描、服务识别工具	https://github.com/4dogs-cn/TXPortMap	TXPortMap
使用Golang开发的高并发网络扫描、服务探测工具	https://github.com/Adminisme/ServerScan	serverScan
masnmapscan 一款端口扫描器。整合了masscan和nmap两款扫描器	https://github.com/hellogoldsnakeman/masnmapscan-V1.0	整合扫描器
gonmap是一个go语言的nmap端口扫描库	https://github.com/lcvvvv/gonmap	gonmap
光速扫描	http://pan.baidu.com/s/1pLjaQKF	小米范
在线端口扫描1	http://coolaf.com/tool/port	在线工具
在线端口扫描2	http://tool.cc/port/	在线工具2

3.6Burp插件

项目简介	项目地址	项目名称
有关burpsuite的插件(非商店),文章以及使用技巧的收集	https://github.com/Mr-xn/BurpSuite-collections	BurpSuite-collections
一个集成的BurpSuite漏洞探测插件	https://github.com/Tsojan/TsojanScan	TsojanScan
OneScan是递归目录扫描的BurpSuite插件。	https://github.com/vaycore/OneScan	OneScan
解析提取接口路径+参数	https://github.com/xnl-h4ck3r/GAP-Burp-Extension	GAP-Burp-Extension
一款基于BurpSuite的被动式shiro检测插件	https://github.com/pmiaowu/BurpShiroPassiveScan	BurpShiroPassiveScan
一款基于BurpSuite的被动式FastJson检测插件	https://github.com/pmiaowu/BurpFastJsonScan	BurpFastJsonScan
一个简单的Fastjson反序列化检测burp插件	https://github.com/Maskhe/FastjsonScan	FastjsonScan
fastjson利用，支持tomcat、spring回显，哥斯拉内存马；回显利用链为dhcp、ibatis、c3p0	https://github.com/skisw/fastjson-exp	fastjson-exp
添加一些右键菜单让burp用起来更顺畅	https://github.com/bit4woo/knife	knife
HaE 请求高亮标记与信息提取的辅助型 BurpSuite 插件	https://github.com/gh0stkey/HaE	HaE
domain_hunter_pro 一个资产管理类的Burp插件	https://github.com/bit4woo/domain_hunter_pro	domain_hunter_pro
新一代子域名主/被动收集工具	https://github.com/Acmesec/Sylas	Sylas
GadgetProbe Burp插件用来爆破远程类查找Java反序列化	https://github.com/BishopFox/GadgetProbe	GadgetProbe
HopLa 自动补全 Payload 的 BurpSuite插件	https://github.com/synacktiv/HopLa	HopLa
验证码识别	https://github.com/f0ng/captcha-killer-modified	captcha-killer-modified
一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuite插件。	https://github.com/whwlsfb/BurpCrypto	BurpCrypto
根据自定义来达到对数据包的处理（适用于加解密、爆破等），类似mitmproxy，不同点在于经过了burp中转	https://github.com/f0ng/autoDecoder	autoDecoder
伪造ip地址	https://github.com/TheKingOfDuck/burpFakeIP	burpFakeIP
自动发送请求	https://github.com/nccgroup/AutoRepeater	AutoRepeater
自动探测请求走私漏洞	https://github.com/portswigger/http-request-smuggler	http-request-smuggler
用于在所有请求中自动执行 SSRF 检测	https://github.com/ethicalhackingplayground/ssrf-king	ssrf-king
主要用于简化和解决Burpsuite对Http的一些操作.	https://github.com/MaskCyberSecurityTeam/BurpHttpHelper	BurpHttpHelper
用于Outlook用户信息收集，在已登录Outlook账号后，可以使用该插件自动爬取所有联系人的信息	https://github.com/KrystianLi/OutLook	OutLook
提取参数插件	https://github.com/goddemondemongod/god_param	god_param
这是一款burp插件，用于Outlook 网页版用户信息收集，在已登录Outlook 网页版账号后，可以使用该	https://github.com/KrystianLi/ExchangeOWA	ExchangeOWA
对权限绕过自动化bypass的burpsuite插件	https://github.com/0x727/BypassPro	BypassPro
Tls指纹特征绕过插件\|Bypass	https://github.com/sleeyax/burp-awesome-tls	burp-awesome-tls

3.7浏览器插件

项目简介	项目地址	项目名称
Hack-Tools 适用于红队的浏览器扩展插件	https://github.com/LasCC/Hack-Tools	Hack-Tools
SwitchyOmega 浏览器的代理插件	https://github.com/FelisCatus/SwitchyOmega	SwitchyOmega
superSearchPlus是聚合型信息收集插件，支持综合查询，资产测绘查询，信息收集敏感信息提取 js资源扫描目录扫描 vue组件扫描整合了目前常见的资产测绘平台同时支持数据导出	https://github.com/dark-kingA/superSearchPlus	superSearchPlus
Chrome插件.使用DevTools查找DOM XSS	https://github.com/filedescriptor/untrusted-types	untrusted-types
FOFA Pro view 是一款FOFA Pro 资产展示浏览器插件	https://github.com/fofapro/fofa_view	fofa_view
mitaka 用于 OSINT 搜索的Chrome和Firefox扩展	https://github.com/ninoseki/mitaka	mitaka
Git History 查看git存储库文件的历史记录	https://githistory.xyz/	Git History
一款可以检测WEB蜜罐并阻断请求的Chrome插件	https://github.com/cnrstar/anti-honeypot	anti-honeypot
一款完全被动监听的谷歌插件，用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗。	https://github.com/graynjo/Heimdallr	Heimdallr
SourceDetector是一个自动发现.map文件，并帮你下载到本地的一个chrome extension。	https://github.com/Lz1y/SourceDetector-dist	SourceDetector-dist

3.8邮箱&钓鱼

项目简介	项目地址	项目名称
邮箱自动化收集爬取	https://github.com/Taonn/EmailAll	EmailAll
通过搜索引擎爬取电子邮件	https://github.com/Josue87/EmailFinder	EmailFinder
批量检查邮箱账密有效的 Python 脚本	https://github.com/rm1984/IMAPLoginTester	IMAPLoginTester
Coremail邮件系统组织通讯录导出脚本	https://github.com/dpu/coremail-address-book	coremail-address-book
拥有在线模板设计、发送诱骗广告等功能的钓鱼系统	https://github.com/gophish/gophish	gophish
Swaks SMTP界的瑞士军刀	https://github.com/jetmore/swaks	swaks
一个在线的任意发件人发送Email邮件网站	http://tool.chacuo.net/mailanonymous	mailanonymous
EwoMail是基于Linux的企业邮箱服务器	https://github.com/gyxuehu/EwoMail	EwoMail
批量发送钓鱼邮箱	https://github.com/Yang0615777/sendMail	sendMail
免杀宏生成器	https://github.com/Inf0secRabbit/BadAssMacros	BadAssMacros
图标提取	https://github.com/JarlPenguin/BeCyIconGrabberPortable	BeCyIconGrabberPortable
图标替换	https://github.com/guitarfreak/SetIcon	SetIcon
红蓝对抗：钓鱼演练资源汇总&备忘录	https://github.com/tib36/PhishingBook	PhishingBook
剑指钓鱼基建快速部署自动化	https://github.com/taielab/Taie-AutoPhishing	Taie-AutoPhishing
一款适用于红蓝对抗中的仿真钓鱼系统	https://github.com/xiecat/goblin	goblin

3.9社工个人信息收集类

项目简介	项目地址	项目名称
从大量站点中收集用户个人信息	https://github.com/soxoj/maigret	maigret
根据邮箱自动搜索泄漏的密码信息	https://github.com/D4Vinci/Cr3dOv3r	Cr3dOv3r
密码泄露搜集	https://archive.org/search.php?query=	archive
从部分站点中收集个人信息	https://github.com/n0tr00t/Sreg	Sreg
输入人名或邮箱地址, 自动从互联网爬取关于此人的信息	https://github.com/famavott/osint-scraper	osint-scraper
通过脉脉用户猜测企业邮箱	https://github.com/Ridter/Mailget	Mailget
社工字典密码生成	https://github.com/Mebus/cupp	cupp
社会工程学密码生成器，是一个利用个人信息生成密码的工具	https://github.com/zgjx6/SocialEngineeringDictionaryGenerator	DictionaryGenerator
在线密码生成器	https://zzzteph.github.io/weakpass/	weakpass

3.10APP/公众号/小程序相关工具

项目简介	项目地址	项目名称
（推荐）微信小程序反编译工具，.wxapkg 文件扫描 + 解密 + 解包工具	https://github.com/wux1an/wxapkg	wxapkg
一个反编译微信小程序的工具，仓库也收集各种微信小程序/小游戏.wxapkg文件	https://github.com/ezshine/wxapkg-convertor	wxapkg-convertor
微信小程序主包解密工具	https://github.com/BlackTrace/pc_wxapkg_decrypt	pc_wxapkg_decrypt
微信小程序反编译	https://github.com/qwerty472123/wxappUnpacker	wxappUnpacker（自行寻找备份仓库）
微信小程序反编译	https://github.com/r3x5ur/wxapkg-unpacker	wxapkg-unpacker（二开）
微信小程序信息在线收集，wxapkg源码包内提取信息	https://github.com/moyuwa/wechat_appinfo_wxapkg	wechat_appinfo_wxapkg
移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具	https://github.com/kelvinBen/AppInfoScanner	AppInfoScanner
一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动端(Android、iOS)辅助分析工具	https://github.com/sulab999/AppMessenger	AppMessenger
apk爬虫工具可提取包内url等信息	https://github.com/dwisiswant0/apkleaks	apkleaks
安卓应用层抓包通杀脚本	https://github.com/r0ysue/r0capture	r0capture

3.11常用小工具

项目简介	项目地址	项目名称
好用的去重对比工具	https://github.com/tomnomnom/anew	anew
视觉侦查工具，用于信息收集屏幕截图	https://github.com/sensepost/gowitness	gowitness
一款jar包分析小工具	https://github.com/4ra1n/jar-analyzer	jar-analyzer
参数FUZZ小工具	https://github.com/s0md3v/Arjun	Arjun
一款用于快速导出URL、Domain和IP的小工具	https://github.com/mstxq17/MoreFind	MoreFind
Xtools 是一款 Sublime Text 插件，同时是一款简单的资产处理、命令行调用工具。	https://github.com/chasingboy/Xtools	Xtools
对Web渗透项目资产进行快速存活验证	https://github.com/AabyssZG/Web-SurvivalScan	Web-SurvivalScan
二进制文件切割&合并工具	https://github.com/AabyssZG/BinaryCutting-Tool	BinaryCutting-Tool
命令执行写任意文件，主要用于命令执行但不出网情况	https://github.com/Ar3h/putter	putter

love6a6

关注

11
点赞
踩
13

收藏

觉得还不错? 一键收藏
打赏
0
评论
从零开始学习网络安全渗透测试之信息收集篇——（一）Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

明确目标之后，我们要对目标的信息进行收集，有时候甲方进行授权时，给我们的信息很少，刁难你一下，比如就给你一个IP地址，让你自己找一下我们有多少域名、IP地址、对外资产信息有哪些等等，我们就需要自行模拟黑客攻击流程，对企业的各类信息进行收集，其实不管是企业也好，还是你自己个人也好，想要测试某个网站的安全性，都要对这个网站的各类信息进行收集。
复制链接

扫一扫