开源指纹工具——潮汐TideFinger更新了！

关于TideFinger

2020年的时候，从网上整合了大部分常见的指纹库，参考了一些比较不错的指纹识别工具，写了一款开源的指纹识别小工具——TideFinger，并使用了传统和现代检测技术相结合的指纹检测方法，让指纹检测更快捷、准确。

TideFinger项目地址：https://github.com/TideSec/TideFinger

搭建了一套在线指纹识别平台：http://finger.tidesec.com/

当时还写了一篇关于指纹识别的文章：https://www.freebuf.com/articles/web/202560.html

指纹工具发布之处，也想着能定期的更新指纹库，但后来忙起来后就陷入了无限期的拖沓。同时也发现靠自己去维护指纹库有些不太现实，花费时间和精力都比较多一些。所以后来自己写一些小工具用到指纹的时候，就开始集众家之长，不再重复造轮子，很多东西都是拿过来直接调用然后解析结果就可以了。

所以在2021年上半年的时候，对潮汐指纹平台进行了更新，加入了很多新功能：https://mp.weixin.qq.com/s/ctrWPQ8NNdc6NwLrkKa3Xg

但是后来由于各种不可说原因，部分功能又被下线了。后来很多小伙伴在后台问能不能开源之类的，所以才有了这次对TideFinger进行了一次升级完善。

主要完善点

1、完成了python3的代码升级。之前使用python2实现的，现在github里包含了python2和python3两个版本，可以根据自己环境去选。

2、升级了tidefinger的自身指纹库，2020年的时候指纹大约为2100条，目前指纹文件cms_finger.db已包含大约5900条指纹。

3、引入了Wappalyzer指纹库，使用了python版的Wappalyzer，代码来自https://github.com/chorsley/python-Wappalyzer。

4、引入了webanalyzer指纹库，这个是国内一群安全爱好者做的一个很不错的项目，项目地址https://github.com/webanalyzer/，里面的role也集成了WhatWeb、Wappalyzer、fofa的规则等。

5、因为多个指纹库都会有部分重合，所以后面对识别到的指纹进行了简单的去重处理，并对部分常见的误报进行了优化。

6、py2版本中在无法识别到cms时会默认使用数据库文件遍历的方式进行进一步指纹识别，但这样会对目标站点发起大量请求，我现在已经基本不大用这种方式，所以py3版加了个-d的选项，0为不启用，1为启用，默认为不启用。

新旧版本对比

python2版：

python3新版：

python3新版本获取的指纹更多，默认对目标发送大约4-5个数据包，而且都是没有攻击特征的，相对来说还是是可以接受的。

下一步打算

现在也开始计划能用Go重写一下指纹识别工具，Go的一些特性的确也适合做这些。目前novasec团队的酒零大佬开发了一个增强版的whatweb：https://github.com/winezer0/whatweb-plus，现在也在召集人马准备用Go重写whatweb，希望感兴趣的小伙伴可以一起参与。

现在写一些红队小工具也越来越看重指纹识别的效率和精准度，这决定了你的自动化攻击流程的下一步走向，特别是在一些框架类和通用CMS的识别上。

感谢

这次升级主要是引入了一些其他优秀工具，再次表示感谢，包含并不止以下优秀项目和工具。

https://github.com/chorsley/python-Wappalyzer

https://github.com/webanalyzer/

https://github.com/winezer0/whatweb-plus

https://github.com/urbanadventurer/WhatWeb

https://github.com/AliasIO/Wappalyzer

https://github.com/se55i0n/Webfinger