(原创)利用页面交叉引用反馈爬取vulners.com的数据

最新推荐文章于 2022-12-26 15:52:49 发布
最新推荐文章于 2022-12-26 15:52:49 发布
阅读量1k 收藏
点赞数
分类专栏: python&爬虫 web杂谈(开发,安全,chrome扩展等) 程序分析与软件安全 文章标签: html 数据 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtua/article/details/76181537
版权

利用页面交叉引用反馈爬取vulners.com的数据

因为实验室的工作需要,需要对vulners.com网站上的漏洞信息和相关链接进行数据爬取,但是vulners本身对爬虫的限制非常严格,前端页面都是由react.js生成的,很难单纯靠爬虫获取html数据。

vulners网址https://vulners.com/

可选方案

(1)利用chrome driver+ selenium获取数据。
(2)利用chrome 插件本身作为数据爬虫的载体。
(3)利用PhantomJS或者scarpy-splash进行加载。
(4)采用官方API进行爬取。

各个方案的评估

(1)由于vulners是境外网站,在国内加载速度很慢,而这些浏览器加载工具仅仅在加载完成之后才会进行。这样速度就很慢了。
(说明:现代浏览器例如chrome都采用了多线程加载和一边渲染一遍展示的技术,因此给用户的感觉就是很快就能把页面渲染出来,其实后台的工作还没有完成,再加上现代的web前段常用的异步加载工具例如ajax等,更进一步降低了方法(1)(2)的效率)
(2)之前采用过PhantomJS之类的js加载工具,但是其功能还是相对有限。对于exploit-db之类的简单的js网站效果相对好一些,而在vulners上表现的不太好。

vulners api

最终笔者采用了使用vulners api的方法来进行数据提取,而vulners api这个方法也是存在问题的,就是每次最多能够获取2000到10000条数据,然而vulners本身有将近70w条数据。

爬取方案

由于最近vulners网站升级,因此具体的api内容暂时无法发布与此。现在介绍一下爬取思路和具体的工作方案。
爬取过程分两个大步:
(1)利用组里的软件漏洞词典,进行初始数据积累:
   这个过程和”薅羊毛”类似,利用字典里面的分词,在vulners网站的搜索api上进行查询获取
   具体的API为:https://vulners.com/api/v3/search/lucene/?query=(关键词)
        这一过程一共积累了33w条数据。
(2)利用网页上的交叉引用,进一步获取数据。
         vulners.com网站的每个漏洞页面上会有一些和它相关的漏洞的页面链接,之后可以利用这些数据来作为进一步获取的跳板。
         https://vulners.com/api/v3/search/lucene/?query=(关键词)
&&reference=True。添加一个参数就可以获取相关数据。

总体来说系统的工作是按照如下流程进行的。

    urls_to_fetch = [] #待爬取url队列
    for token in software_vul_dict:
        url = gen_url(token)
        insert_db(search_by_lucence(url))
        #这个过程是基础数据积累过程:
    for item in db:
        urls_to_fetch.append(gen_url(item))
    for url in urls_to_fetch:#注意,这个队列有更新操作,因此迭代过程应该注意
        (result,result_ref)=search_by_id_with_ref(url)          
        insert_db(result)
        urls_to_fetch.append(gen_url(result_ref))
橘猫且engi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
freeaudit:使用vulners.com漏洞数据库的打包审核工具包
02-05
freeaudit:使用vulners.com漏洞数据库的打包审核工具包
Vulners网络扫描仪「Vulners Web Scanner」-crx插件
03-21
基于漏洞数据库的微型漏洞扫描器。浏览网页时,你可以上网! 基于vulners.com漏洞数据库的微小漏洞安全扫描程序。它使您能够根据已知漏洞被动地浏览所浏览的网站 #安全#扫描程序#漏洞#漏洞#网络#威胁 支持语言:English
nmap-vulners:基于Vulners.com API的NSE脚本
02-23
nmap_vulners 描述 NSE脚本使用一些知名服务来提供有关漏洞的信息。 请注意,它已经包含在标准nmap NSE库中。 依存关系: nmap libraries: http json string http-vulners-regex 您应始终牢记的唯一一点是,该脚本取决于手头的软件版本,因此仅与-sV标志一起使用。 注意:现在,如果同时运行http-vulners-regex脚本,则实际上可以在不带有-sV标志的情况下运行。 安装 locate where your nmap scripts are located on your system for *nix system it might be ~/.nmap/scripts/ or $NMAPDIR for Mac it might be /usr/local/Cellar/
Nmap系统扫描实战
最新发布
永远是少年
12-26 3357
今天继续给大家介绍渗透测试相关知识,本文主要内容是Nmap系统扫描实战。 一、Nmap系统扫描概述 二、nmap vulscan系统扫描 三、nmap vulners系统扫描 四、两插件联合使用
python封装api linux_Vulners Python API 封装
weixin_39900023的博客
12-08 109
Vulners API v3 Python wrapperDescriptionPython 2/3 library for the Vulners Database. It provides search, data retrieval, archive and vulnerability scanning API's for the integration purposes. With thi...
investpy:使用Python从Investing.com提取财务数据
04-28
使用Python从Investing.com提取财务数据 investpy是一个Python软件包,可从检索数据,该数据包最多可检索以下数据:39952股票,82221基金,11403 ETF,2029货币交叉,7797指数,688种债券,66种商品,250种证书和...
WPS书签及交叉引用-使用方法.pdf
04-07
解决投标文件,各种偏离表响应页码位置
S7-200SMART PLC中书签和交叉引用的具体使用方法示例.docx
11-16
S7-200SMART PLC中书签和交叉引用的具体使用方法示例
利用SQL Server 2005数据挖掘实现交叉销售的研究.pdf
09-19
利用SQL Server 2005数据挖掘实现交叉销售的研究.pdf
电商平台运营电商交叉销售共2页.pdf.zip
11-25
电商平台运营中的交叉销售是提升销售额和客户价值的重要策略。交叉销售是指向已购买某一产品或服务的客户推荐与其购买相关的其他产品或服务,以增加单个客户的交易总额。这一概念在电商环境中尤其适用,因为在线平台...
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试.zip
09-24
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试。.zip,基于vulners.com搜索api的漏洞扫描
用Nmap检测漏洞
andiao1218的博客
04-12 1422
介绍两个NSE脚本,可以检测CVE漏洞 nmap-vulners:https://github.com/vulnersCom/nmap-vulners vulscan:https://github.com/scipag/vulscan nmap-vulners: 切到nmap目录 ┌─[✗]─[root@sch01ar]─[~] └──╼ #cd /usr/share/n...
公开的漏洞信息获取
weixin_39078334的博客
05-13 857
获取信息 IP=>端口/服务/中间件=>名/版本 WEB=>框架/版本 获取漏洞情报 cvedetails-获取组件存在的CVE&CVE的MSFexp mitre-获取CVE详细信息 vulners-获取CVE的exp情报 vuldb-获取组件存在的CVE&CVE的exp情报 rips-WEB漏洞情报 中文站 安全客-获取组件存在的CVE cnvd-组件/WEB漏洞情报 获取漏洞exp exploit-db ...
爬取--- https://www.exploit-db.com/ 下载POC较完善的代码【2】
HWP
04-03 1625
OK 1,先进行爬取基础信息! 运行程序:【通过生成的CVE列表,多生成几个文件。后面会有用处的!】cve编号写入cve_num0.json成功!【备份】 cve编号写入cve_num1.json成功!【爬取影响产品信息】 cve编号写入cve_num2.json成功!【记录影响产品信息】 cve编号写入cve_num3.json成功!【爬取对应的POC信息】 cve编号写入cve_num4.js...
爬虫爬取https://www.exploit-db.com/老是跳过一个
HWP
04-02 1413
https://www.exploit-db.com/ 由于是外网,连接速度不行。就怕突然下载停止。这个时候的CVE编号,就会紊乱。 解决办法,分开。 备份一个CVE编号列表只用来记录去除剩下的,另外一个只用来下载。 重新开始的时候,用上次剩余的来替换之前的CVE列表即可! ...
Exploit-db漏洞库
Jim的博客
08-22 9062
访问的方法是在命令提示符中输入一下命令: cd /pentest/exploits/exploitdb/ cat files.csv | less BT5下的更新脚本 #!/bin/bash echo "Updating The Exploit-DB" cd /pentest/exploits/exploitdb/ wget http://www.expl
【BurpSuite】插件开发学习之Software Vulnerability Scanner
HWHXY的博客
08-21 781
插件学习第二套。前置文章PS:这里没有TOKEN也是可以查询成功的。
SearchSploit漏洞查找工具使用指南
大方子
10-04 7567
什么是SearchSploit: “searchsploit”是一个用于Exploit-DB的命令行搜索工具,它还允许你随身带一份Exploit-DB的副本。 SearchSploit为您提供了在本地保存的存储库中执行详细的离线搜索的能力。这种能力特别适用于在没有互联网接入的情况下对网络进行安全评估。许多漏洞都包含了二进制文件的链接,这些文件不包含在标准存储库中,但可以在我们的Exploit-...
Python十几行代码获取db库新增的poc
weixin_34283445的博客
04-26 236
1.背景介绍 由于项目需要及个人爱好,我每个月都要下载exploit-db库上的压缩包,更新到自己的漏洞平台上。然而,,在以前都是把exploit的整个文件夹通过远程桌面传到服务器上,由于这个文件夹非常的大,导致每次都需要好长时间才能传完,所以,就想着写个脚本光收集上个月新增的poc。2.利用工具 Python2.7的os和sys库3.脚本 首先,db库提供了特别便利的...
多波段数据交叉证认工具的实现(共23张PPT)精选.pptx
11-30
文档详细阐述了数据系统列表化的必要性,以及如何利用交叉证认工具提取诸如颜色-颜色图等信息,以深入理解天体特征。特别是利用数据挖掘技术,可以更有效地分析复杂形态的证认、大规模样本间的关联和稀有天体的发现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值