简介
fofaEX 是一款基于 FOFA API 的图形化工具,它为用户提供了一个直观、高效的方式来进行网络资产发现和安全分析。FOFA 是一个全球性的互联网资产搜索引擎,通过 FOFA API,用户可以方便地查询暴露在互联网上的设备和服务信息。fofaEX 利用 FOFA 的强大数据接口,以图形化的方式呈现查询结果,简化了数据处理流程,帮助用户更好地理解网络资产的分布和潜在的安全风险。
核心功能:
- 直观的图形化界面:提供简洁易用的图形界面,用户无需编写复杂的 API 请求代码,轻松实现网络资产的查询和分析。
- API 无缝对接:支持通过 FOFA API 进行数据查询,用户只需输入 FOFA 的 API 密钥即可访问广泛的互联网资产数据。
- 灵活的查询条件:支持通过 IP、域名、端口、协议、服务等多个维度进行资产搜索,满足不同用户的查询需求。
- 可视化展示:将查询结果以表格、地图、图表等形式进行可视化展示,帮助用户更快速地识别和分析数据。
- 批量查询与结果导出:支持批量查询多个目标资产,并将查询结果导出为 CSV、Excel 等格式,方便后续分析和存档。
- 实时监控与报警:部分版本支持资产监控功能,用户可以设置定期查询任务或实时监控指定资产,及时发现资产的变化或潜在风险。
- 高级分析工具:内置简单的分析工具,支持域名关联分析、IP 位置分布、协议类型统计等功能,帮助用户深入挖掘数据。
适用场景:
- 网络安全分析:网络安全研究人员可利用 fofaEX 查找并分析互联网上的暴露资产,及时发现潜在的安全漏洞和威胁。
- 渗透测试与漏洞扫描:渗透测试人员可通过 fofaEX 获取目标系统的开放端口、服务版本等信息,作为渗透测试的重要依据。
- 资产管理与合规检查:企业或组织可以使用 fofaEX 对外部暴露的互联网资产进行全面管理和定期检查,确保安全合规。
fofaEX 将 FOFA 的强大搜索能力与图形化界面结合,使得网络资产的发现与安全分析变得更加直观、便捷,非常适合安全专家、渗透测试人员以及网络管理员使用。通过这款工具,用户可以快速获取网络资产的详细信息,帮助提升整体的安全防护能力。
启动方式
支持的 Java 版本:Java 8、Java 11
该程序基于 Java 11 开发,推荐优先使用 Java 11 运行以获得最佳的界面体验和功能优化。同时,程序采用插件化设计,支持一键探活操作,简化使用流程。
- Java 11:建议使用(界面与功能优化最佳)
- Java 8:兼容版本
- 测试版本:适合测试新功能
手动运行
如需手动启动程序,请使用以下编码命令运行:
java "-Dfile.encoding=UTF-8" -jar .fofaEX.jar
程序界面
自动化资产探测流程
- HTTPX 探活:使用 HTTPX 进行快速的探活扫描,检查目标资产的存活状态。
- IP 反查域名:根据扫描到的 IP 地址 反向查询相关的域名信息,挖掘更多潜在的资产。
- 域名反查 ICP:通过 域名反查 ICP(互联网内容提供商)信息,进一步了解域名的备案信息,识别合法性和归属。
- DISMAP 指纹采集:使用 DISMAP 进行指纹采集,获取服务版本、操作系统信息等,帮助分析目标系统的安全状况。
优势
- 更多默认数据查询功能:
- 默认查询全部数据:支持默认查询所有数据,便于快速获取全面的资产信息。
- 快捷保存查询语法:方便用户保存常用的查询语法,便于在 HW 或 SRC 中进行进一步挖掘与分析。
- 全方位 API 接口支持:全面支持所有 API 接口,用户可在界面中自由选择接口显示范围,提升查询灵活性。
- 查询结果在线编辑与导出:查询结果支持在线编辑与导出,后续版本将为右键菜单增加更多新功能,提升操作便捷性。
- 自动化调用第三方插件:支持自动化调用第三方插件,目前正在持续开发中。当前已展示的功能包括 HTTPX 一键探活,并可直接对 FOFA 搜索结果进行处理。用户可以通过修改
plugins/httpxSetting.json
配置文件来定制导出选项,进一步优化工作流。
运行 httpX 会自动弹出单独的运行结果面板:
首次登录后,系统会自动保存账户信息,并在本地生成配置文件 accounts.txt。
此后,您只需提供 API Key 即可直接调用 FOFA API,无需再次设置邮箱。这种登录方式简化了操作流程,让用户在后续使用中更加便捷,避免重复输入账户信息。
检查账户功能可查看当前账户信息(会员显示点数为"-1"是正常现象):
工具地址:
https://github.com/10cks/fofaEX/releases/tag/3.3.1
原文始发于微信公众号(菜鸟学信安):FOFA API 驱动的图形化资产发现工具 - fofaEX
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论