信息的收集也包括目标站点或系统曾经是否有被攻击的历史。已公开的渗透过程具备很好的参考价值,能够较为清楚的了解目标站点或者系统的相关配置、平台技术、漏洞分布等信息
漏洞平台是很好的信息收集平台,能够通过公开的漏洞报告了解目标的各项信息,常用的漏洞平台如下:
乌云漏洞平台、360补天漏洞平台、Exploit-DB、GHDB、CVE中文漏洞信息库、中国国家信息安全漏洞库、国家信息安全漏洞共享平台
漏洞库搜索方式:
.搜索对应厂商
.搜索对应软件平台
信息收集的目标:
.已有的渗透过程
.目标的技术架构
.目标使用架构的公开漏洞
.目标可能进行的修复
.....
使用搜索引擎搜索漏洞:
上传类
注入类
敏感信息类
......
例如:
可通过搜索引擎寻找目标使用CMS平台漏洞,再对目标站点进行测试。
注意:
所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任