深入的攻击面映射和资产发现

admin
admin
admin
102776
文章
87
评论
2023年3月13日09:25:17评论61 views字数 1390阅读4分38秒阅读模式

OWASP Amass项目使用开源信息收集和主动侦察技术执行攻击面的网络映射和外部资产发现。

深入的攻击面映射和资产发现

0x01 资产采集技术

接口信息:

360PassiveDNS, Ahrefs, AnubisDB, BeVigil, BinaryEdge, BufferOver, BuiltWith, C99, Chaos, CIRCL, DNSDB, DNSRepo, Deepinfo, Detectify, FOFA, FullHunt, GitHub, GitLab, GrepApp, Greynoise, HackerTarget, Hunter, IntelX, LeakIX, Maltiverse, Mnemonic, Netlas, Pastebin, PassiveTotal, PentestTools, Pulsedive, Quake, SOCRadar, Searchcode, Shodan, Spamhaus, Sublist3rAPI, ThreatBook, ThreatMiner, URLScan, VirusTotal, Yandex, ZETAlytics, ZoomEye

证书信息:

Active pulls (optional), Censys, CertCentral, CertSpotter, Crtsh, Digitorus, FacebookCT

DNS解析:

Brute forcing, Reverse DNS sweeping, NSEC zone walking, Zone transfers, FQDN alterations/permutations, FQDN Similarity-based Guessing

路由信息:

ASNLookup, BGPTools, BGPView, BigDataCloud, IPdata, IPinfo, RADb, Robtex, ShadowServer, TeamCymru

爬虫信息:

AbuseIPDB, Ask, Baidu, Bing, CSP Header, DNSDumpster, DNSHistory, DNSSpy, DuckDuckGo, Gists, Google, HackerOne, HyperStat, PKey, RapidDNS, Riddler, Searx, SiteDossier, Yahoo

Web档案:

Arquivo, CommonCrawl, HAW, PublicWWW, UKWebArchive, Wayback

whois信息:

AlienVault, AskDNS, DNSlytics, ONYPHE, SecurityTrails, SpyOnWeb, WhoisXMLAPI

0x02 安装和使用

预构建包:

1、直接下载zip包,解压2、将预编译的二进制文件放到指定路径3、开始使用工具

Docker安装:

1、安装 Docker2、通过运行拉取 Docker 映像docker pull caffix/amass3、运行 docker run -v OUTPUT_DIR_PATH:/.config/amass/ caffix/amass enum -d example.com

GO安装:

  • 1、安装 Go 并设置 Go 工作区2、运行 go install -v github.com/OWASP/Amass/v3/...@master3、二进制文件在 $GOPATH/bin下

    工具包

    https://github.com/owaSP/Amass

    原文始发于微信公众号(白帽学子):深入的攻击面映射和资产发现

    • 左青龙
    • 微信扫一扫
    • weinxin
    • 右白虎
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2023年3月13日09:25:17
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                     深入的攻击面映射和资产发现http://cn-sec.com/archives/1601168.html

    发表评论

    匿名网友 填写信息