漏洞信息收集之——资产梳理

最新推荐文章于 2024-07-29 17:12:08 发布
最新推荐文章于 2024-07-29 17:12:08 发布
阅读量2.1k 收藏 19
点赞数
分类专栏: #+ 漏洞信息收集 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43079958/article/details/107326586
版权

资产梳理

复习复习着突然发现 少了两篇文章? 哈哈
着实迷惑了 最重要的nmap竟然都没了 补上!

有了庞大的域名,接下来就是帮助 SRC 梳理资产了。域名可以先判断存活,活着的继续进行确定 IP 环节。根据 IP的分布,CMS,指纹,确定企业的公网网段,进行整理。对前期收集到的信息整理是一项不小的工程,精准度比较难以拿捏。

不过通过不断实战,肯定可以琢磨出一些东西,所以有人称白帽子可能会比企业的运维更了解资产信息。
资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等,可能会用到已下相关链接地址:

SRC 众测平台
国际漏洞提交平台 https://www.hackerone.com/
BugX 区块链漏洞平台 http://www.bugx.org/
Gsrc 瓜子 src https://security.guazi.com/
区块链安全响应中心 https://dvpnet.io/
CNVD 国家信息安全漏洞平台 http://www.cnvd.org.cn/
漏洞银行:https://www.bugbank.cn/
360 补天:https://www.butian.net/
教育行业漏洞报告平台(Beta)https://src.edu-info.edu.cn/login/

国内平台
知道创宇 Seebug 漏洞平台 https://www.seebug.org/
工控系统行业漏洞平台 http://ivd.winicssec.com/
打造中文最大 exploit 库 http://www.expku.com/
为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/
一家管理漏洞收集的平台 http://www.0daybank.org/

国外平台
国际漏洞提交平台 https://www.hackerone.com/
xss poc http://xssor.io/
oday 漏洞库 https://www.0day.today/
路由器漏洞库 http://routerpwn.com/
cve 漏洞平台 http://cve.mitre.org/

威胁情报
安全数据交流平台 https://www.secsilo.com/
华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报共享平台 https://www.threatcrowd.org/
被黑站点统计 http://www.hacked.com.cn/

社工库 这个说实在的没啥用 好的社工库都搭建在自己服务器了 没有很好的资源
写一点相关的吧
微信伪造 http://www.jietuyun.com/
任意邮箱发送 http://tool.chacuo.net/mailanonymous 和 https://emkei.cz/
临时邮箱(无需注册) http://www.yopmail.com/
邮箱池群 http://veryvp.com/
社工库 http://www.uneihan.com/
钓鱼测试

温柔小薛
关注
专栏目录
信息安全资产梳理新思路
wjzjw的博客
05-25 6576
信息安全的建设实质是风险管理,风险管理的三要素分别是资产、威胁和脆弱性,这三项的基础是资产管理,如何做好资产管理是IT管理人员和运维人员面临的一大难题,有很多的产品可以做资产管理,但是他们的功能是比较单一的,单一的功能并不能能适应企业对资产管理的需求。 资产包括机房设备、网络设备、安全设备、应用服务器、中间件、虚拟化平台等。例如网络设备又细分为IP地址、MAC地址、路由信息等;应用服务器具体包括系统类型、已安装应用程序等;中间件又细分为中间件类型、版本等。 目...
如何进行资产梳理(信息收集)
记录开发和安全学习过程中的点点滴滴
05-09 1927
前面出了一篇如何进行资产梳理,但是主要还是停留在概念部分,本篇博文是对概念进行以渗透角度来如何进行资产梳理,算是一个简单的总结吧,目前还不是很完善,就先总结这些,后续随着学习程度的提生来进行进一步完善.
资产梳理服务方案
最新发布
ZH_W_Godot的博客
07-29 491
通过系统化的资产梳理服务,企业可以全面掌握其信息资产的状况和安全风险,建立健全的资产管理体系,提高整体的网络安全水平,保障企业的业务连续性和数据安全资产梳理服务的主要目标是通过系统化的资产管理和安全评估,帮助企业识别、分类和保护其信息资产,提升整体安全水平。3、安全风险评估:分析每个资产所面临的安全威胁和风险,包括潜在的漏洞、攻击向量和可能的影响。2、资产价值评估:评估每个资产的价值和重要性。4、资产所有权和责任:明确每个资产的所有者和责任人,确保在安全保护方面有明确的责任分工和监管机制。
数据资产梳理方案 (实施版)
09-27
管理方法及案例相结合,供您在做数据资产梳理的时候参考。可用性强。
如何进行资产梳理
记录开发和安全学习过程中的点点滴滴
05-09 1664
作为要参加护网蓝队的一员,需要提前准备对于蓝队工作的一环,因此对于上课学习到的知识点,做一个总结,为了以备不时之需.)资产梳理是指通过各种方式获取所需要的信息,进行资产判断以及整理。伴随着公司业务流程的连续不断澎涨,愈来愈多的机器设备、系统软件等多头管理,私搭乱建状况比较情况严重,安全风险管理职责分工不清晰等难题仍然不容乐观。在防御实战演练开展以前防御蓝队务必开展资产整理,其目地是为公司企业可以作到“认真梳理” ,对自个现阶段资产做一个详尽整理,便于在防御实战演练期内可以从容面对。
记一次项目过程(1)--资产梳理
qq_40478957的博客
01-08 4118
@[TOC]项目记录 记一次项目过程(1) 首先项目的大致流程为资产梳理–漏扫–渗透测试–应急服务以及安全培训。 项目进行中,记录第一阶段的资产梳理。。。 获取客户资产ip范围 拿到客户的一张部分资产表,大致涉及到六个c段的ip。。。再拿到一台接入内网的主机。好了,下面开始找出6个c段的所有存活ip。。 nmap 第一个考虑了***nmap***,听同事建议可以自己写一个脚本,或是考虑fuxi。然...
浅谈资产漏洞管理
TT成长博客
02-17 2094
漏洞管理是安全项目的基础,只有全面了解自家网络上都有些什么,才能有的放矢。如果连网络上有些什么都不知道,又何谈保护?你还得理解网络上每个资产各自的面临的风险,才可以有效确定优先级并加以修复。这其实不能叫漏洞管理,叫资产漏洞管理更准确吧。
漏洞信息收集-04
小蛙
12-23 551
信息的收集也包括目标站点或系统曾经是否有被攻击的历史。已公开的渗透过程具备很好的参考价值,能够较为清楚的了解目标站点或者系统的相关配置、平台技术、漏洞分布等信息 漏洞平台是很好的信息收集平台,能够通过公开的漏洞报告了解目标的各项信息,常用的漏洞平台如下: 乌云漏洞平台、360补天漏洞平台、Exploit-DB、GHDB、CVE中文漏洞信息库、中国国家信息安全漏洞库、国家信息安全漏洞共享平台 ...
信息安全技术——渗透攻击
weixin_65036715的博客
04-21 1352
一、渗透攻击的介绍1.1 渗透攻击是什么意思渗透攻击(Penetration,也称“渗透测试”)是一种在授权的情况下,使用技术攻击、破解、测试和安全评估网络系统的安全控制的过程。它的目的是评估其安全防御力度,找出安全漏洞,以增强对黑客和攻击的间接抵御能力,以防止非授权的访问,保护网络系统的机密信息和数据安全。渗透攻击的基本思想是逐步有步骤地检查目标站点的所有可使用的服务,从而识别任何可能利用的漏洞和滥用点,并证实这些漏洞是否可能被利用来实现目标站点的渗透。
NISP 二级知识点总结——信息安全管理
cwxbox
01-02 1548
关注系统恢复以后的安全状况,记录跟踪结果评估损失、响应措施效果分析和总结经验、教训重新评估和修改安全策略、措施和应急响应计划对进入司法程序的事件,进行进一步调查,打击违法犯罪活动编制并提交应急响应报告处理人事件的类类别、级别时间和时段对事件的处置情况地点损失工作量经验、教训。
goby主机(服务器)漏洞扫描工具
07-22
高效性:利用积累的规则库,全自动的实现IT资产攻击面的梳理;效率提升数倍,发包更少速度更快、更精准; 平台性:发动广泛的安全人员的力量,完善上面提到的所有资源库;包括基于社区的数据共享,插件发布,漏洞...
DBJ:大宝剑-信息收集资产梳理工具(红队,蓝队,企业组织架构,子域名,Web资产梳理,Web指纹识别,ICON_Hash资产匹配)
03-12
说明 大家统一去Start这个 另外提下,演示站只作为演示,功能不可用 Web资产管理可跑任务,但是所有人都能看到你跑的任务 不要改密码,不要改密码,改了别人就看不了了
domain_hunter_pro:domain_hunter的高级版本,SRC挖洞,HW打点之必备!自动化资产收集;快速标题获取;外部工具联动;等等
04-02
域猎人专业版 你还在用Excel进行目标管理吗? 你还在为收集目标的信息而烦恼吗? 你还在测试时不停地复制粘贴吗? 那么来试试吧!方便快捷的目标管理,自动化的信息收集,与burp无缝衔接,与外部安全工具联动... 这是一个帮助SRC白帽子,安全测试工程师提高效率的工具! 我mmmark师傅的御用工具之一! 作者和贡献者 mmmark(很多核心思路都来自他宝贵的实战经验!) 功能介绍 域标签:目标管理和信息收集 基于burp流量自动化信息收集(子域名,相关域名,相似域名,邮箱,Java包名) 支持对主域名的权威服务器进行域传送(区域转移)漏洞检测以获取信息 支持域名黑名单排除 支持IP网段作为目标范围 支持IP:端口作为目标 支持快捷在Google和GitHub搜索的内容 标题标签:进度管理和操作联动 多线程请求子域名的80或433端口,获取网页标题,IP地址,CDN等目标信息 支持排序,
资产收集,系统软件、硬件信息收集工具
04-27
这个是可以帮助单位同事轻松获取局域网内电脑的相关软硬件新的的一个小工具对大家一定会有帮助!!
LangSrcCurise:LangSrc资产监控系统是一套实现对指定域名进行持续性信息收集整理的自动化资产监控管理系统
03-11
前言 LangSrc资产监控系统是一套实现对指定域名进行持续性信息收集整理的自动化资产监控系统,基于Django开发。 DJjango是趁下班休息时间抽空学了点,大概看了25小时左右的文档,基础可能会有些薄弱,导致某些地方处理的很粗糙,不过会在后期慢慢完善,先于之前学过的的一点点Bootstrap,数据可视化基于pyecharts。 个人以为,某种WEB服务的系统,最好的打包方案就是把所有需要的库保存在本地,每次在迁移环境和配置使用都可以得心应手,所以该项目将所有需要的库都打包在本地文件,无需再安装。 项目进度 目前已完成60%功能,初步已经完成40%功能,不过核心可以开始运作,剩下的会在后期慢慢更新。 配置环境 最好是在一个全新的环境安装 安装软件python3.6注意必须为3.6 执行命令pip3 install django == 2.1.1 Windows安装Nmap并添加到系
忆享科技戟星安全实验室|互联网资产搜集平台大全
m0_61431042的博客
10-31 814
Shodan是一个包含数十亿公开可用IP地址的数据库,是世界上第一个互联网连接设备的搜索引擎——从路由器和服务器,到物联网(loT)设备,如恒温器和婴儿监视器,再到复杂的管理系统,广泛的行业,包括能源、电力和运输,任何连接到互联网的设备都可能出现在Shodan搜索中。
17、关于加强数据资产管理的指导意见
wyz191的专栏
06-09 297
数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。为深入贯彻落实党中央决策部署,现就加强数据资产管理提出如下意见。
一切从资产梳理开始
09-09 3178
友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产资产梳理、摸清家底、资产安全治理如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值