0x01 简介
因为最近工作的原因,研究了一些合同相关的知识,由此引出今天这篇文章
随着供应链攻击越来越流行,准确地找到供应链也是一项需要去思考的技术,目前市场上有很多基于源代码自动分析供应链以及漏洞的产品。
但是,如果仅仅从源代码上去寻找供应链会让我们错失很多攻击的通道,凡是保存了目标的敏感信息或者网络互通的都是我们要去考虑的点。
0x02 一个小方法
已经盖章合同文件或者招投标文件是我们寻找供应链、敏感信息、钓鱼素材的一个好帮手
一个合同或者招投标文件中一般会包含一些固定的关键词,我们以一份服务类型的为例:
-
服务内容 -
服务方式 -
计量标准 -
验收标准 -
甲方权利及义务 -
乙方权利及义务 -
知识产权 -
商业秘密保护 -
甲方违约责任 -
乙方违约责任 -
争议的解决 -
...
我们只需要将这些加上单位名称作为关键字,就可以从一些网站搜索到合同具体文件或者招投标文件
接下来是要打供应链,钓鱼,还是怎么着就看你了
我们搜索关键词设置为 "验收标准"
我们知道,一般合同文件都是 pdf 或者 word ,也就是以 .pdf .doc .docx 结尾
filetype:pdf "单位名称"+"验收标准"
这个就不太适合展示截图了,展示几个随机获取的信息的截图吧
往期文章
原文始发于微信公众号(NOP Team):一个信息收集小tip | 小技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论