长亭云图-攻击面管理平台

长亭云图-攻击面管理平台

一、为什么用它

​ 身为拿来主义的忠实拥护者，长亭的各种工具用起来是很香的，xray ，xpoc，牧云，雷池等等工具在工作中是帮了大忙的。这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

​ 在今天用云图之前使用过Rengine和fofahub，每个平台的目的有交差但不完全一致，这俩就不多介绍了，今天就说一下用云图的感受。为什么要说它，因为原本只是想试用一下看看效果，结果它就给我找出了好多漏洞，感觉平时工作都白干了！！！！

二、它能帮我干啥

上图，云图的主页展示了它的所有功能，可以收集域名，收集ip，收集端口和指纹，发现web资产以及使用的web组件，最最最最最重要的，它可以检测漏洞啊，我猜这背后可能是xray在发力。

三、怎么使用它

开通云图极速版，进入百川云平台开通

云图极速版地址
https://rivers.chaitin.cn/landing/atlantis

产品开通教程
https://www.bilibili.com/video/BV1Ru4y1b7cN/

开通之后，需要添加扫描对象，因为云图面向的是企业，所以你只需要告诉它你公司的名字叫啥就行了，剩下的都不用你管，都交给它来处理就完事了。

• 云图收到你公司的名字之后，会通过备案的公司名字，查找出公司备案的主域名，之后会采集子域名，然后采集域名解析的ip地址，再通过这些ip地址去探测开放的端口，识别端口指纹，识别出web资产以及web组件，最后利用上面收集的web资产和组件进行漏洞扫描，右上角的开关可以自由控制手动开启扫描还是每天自动扫一遍。

• 备案域名处会列出你司相关域名

• 域名解析的地方会列出子域名，实测的结果真的可以发现超级多的子域名。

• IP地址这地儿就是域名解析后相关的ip信息了，ip会关联域名以及端口情况，在这儿做资产梳理也是相当不错的。

• 端口展示，端口指纹等信息

• web资产识别

• web组件识别统计

• 安全风险展示，不是专业版的看不到漏洞详情，但无伤大雅，漏洞名称和地址都知道了，就不愁不知道漏洞细节，毕竟xpoc和xray不要钱！！！

使用场景-适合谁用

• 适合有众多互联网业务的企业
• 适合安全开发以及维护资源不足的，但对于互联网业务安全性有较强需求的企业
• 非常适合我这种懒人使用，极度适合懒人！！！
• 重要提示：高级版现在1元一个月，没钱也用的起！！！