【面试笔记】Web安全面试题之-信息搜集（3）

域名信息

whois

搜索引擎搜索

site: domain

第三方查询

• DNSDumpster

• Virustotal

• CrtSearch

• threatminer

• Censys

域名相关性

• 查询域名注册邮箱

• 通过域名查询备案号

• 通过备案号查询域名

• 反查注册邮箱

• 反查注册人

• 通过注册人查询到的域名在查询邮箱

• 通过上一步邮箱去查询域名

• 查询以上获取出的域名的子域名

网站信息利用

网站本身的交互通常不囿于单个域名，会和其他子域交互。对于这种情况，可以通过爬取网站，收集站点中的其他子域信息。这些信息通常出现在JavaScript文件、资源文件链接等位置。

网站的安全策略如跨域策略、CSP规则等通常也包含相关域名的信息。有时候多个域名为了方便会使用同一个SSL/TLS证书，因此有时可通过证书来获取相关域名信息。

域传送漏洞

作为重要的互联网基础设施，难免成为黑客的重点攻击目标，服务的稳定性尤为重要。DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。

一般来说，域传送操作应该只允许可信的备用DNS服务器发起，但是如果错误配置了授权，那么任意用户都可以获得整个DNS服务器的域名信息。这种错误授权被称作是DNS域传送漏洞。

Passive DNS

Passive DNS被动的从递归域名服务器记录来自不同域名服务器的响应，形成数据库。

CDN

1.可通过多地ping的方式确定目标是否使用了CDN，常用的网站有 http://ping.chinaz.com/ <https://asm.ca.com/en/ping.php> 等。

2.使用了CDN的域名的父域或者子域名不一定使用了CDN，可以通过这种方式去查找对应的IP。

一般企业都只会对www域名做cdn，而常常忽略了空域名和子域名,确定了没有使用CDN的二级域名后，本地将目标域名绑定到同ip，能访问就说明目标站与二级域名在同一服务器，也可能在同C段，扫描C段所有开80端口的ip，挨个尝试

3.CDN可能是在网站上线一段时间后才上线的，可以通过查找域名解析记录的方式去查找真实IP。

相关查询网站
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
http://whoisrequest.com/history/
https://tools.ipip.net/cdn.php
https://securitytrails.com/

4.网站的各种探针类文件，如phpinfo里面的_SERVER["SERVER_ADDR"]也包含的有服务器端的真实ip，当然这个情况还是比较少的，因为一般都会把phpinfo给删除

子域爆破

指纹识别/网站架构探测

端口信息

nmap

nmap -T4-sT -Pn -sV ip

站点信息

判断网站操作系统

• Linux大小写敏感

• Windows大小写不敏感

扫描敏感文件

• robots.txt

• crossdomain.xml

• sitemap.xml

• xx.tar.gz

• xx.bak

• 等

来玩

欢迎进群吹水交流~~~、

原文始发于微信公众号（赛博之眼CyberEye）：【面试笔记】Web安全面试题之-信息搜集（3）