网络空间资产测绘初探

7erry
  2023-12-15 2023-12-15 Created   2023-12-15 2023-12-15 Updated   1.6k Words  5 Mins  

网络空间资产

资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”

网络空间资产测绘

针对赛博空间中的数字化资产,通过扫描探测、流量监听、主机代理、特征匹配等方式,动态发现、汇集资产数据,并进行关联分析与展现,以快速感知安全风险,把握安全态势,从而辅助用户进行指挥决策,支撑预测、保护、检测、响应等安全体系的能力,即为网络空间资产测绘(CAM)

什么是资产测绘?
“测”————资产探测发现能力
“绘”————资产数据的关联展现能力

主流网络空间资产搜索引擎

网络空间资产搜索引擎的使用

以fofa为例

FOFA简介

FOFA是什么?

FOFA是一款网络空间测绘的搜索引擎,旨在帮助用户以搜索的方式查找公网上的互联网资产。

简单来说,FOFA的使用方式类似于谷歌或百度,用户可以输入关键词来匹配包含该关键词的数据。不同的是,这些数据不仅包括像谷歌或百度一样的网页,还包括像摄像头、打印机、数据库、操作系统等资产。

网络空间测绘可以被认为是网络空间的“地图”。就像谷歌地图或高德地图通过卫星图像对地形进行测绘,网络空间测绘也是通过技术探针对全球网络资产进行探测。

然而,网络空间分为公网和内网。FOFA主要针对公网上的资产进行探测,类似于谷歌地图上的建筑物(IP地址),虽然可以看到建筑物的外部结构和规模,但无法了解内部的情况。这是因为侵犯内网的隐私是违法的。

FOFA能做什么?

FOFA的作用之一就是对企业所有暴露在公网的暴露面进行梳理,帮助企业最大程度上的保护自己的互联网资产。 举例来说,就像病毒可以通过多种渠道侵入人体,企业设备也可能存在漏洞被黑客攻击。虽然企业可以通过防护措施减少暴露面,如戴口罩和防护服,但黑客仍然可能通过小伤口或气溶胶入侵企业内网。类似地,企业设备也可能存在多种暴露面,从而存在被黑客攻击的风险。

类比于医生检测流感的方法,当漏洞出现时,企业可以快速检测自己的资产是否受影响,并及时采取措施防止漏洞被不法分子利用。这有助于企业保护自己的网络安全。

当然除了企业自己对自己的资产进行梳理和保护外,有一批叫做白帽子的团体也会通过FOFA进行漏洞挖掘。他们就像一个个猎手一样,当他们发现某个产品有通用型漏洞的时候,可以通过FOFA的搜索快速地收集到这个产品在全网的资产总量和地区分布,对漏洞影响范围进行判断,并帮助企业应对其网络安全的问题。

同样地,对于高校或者机构的研究人员,也可以通过FOFA快速地确认某一款产品在全球的资产分布情况。比如某某厂商旗下的一款摄像头在全球已经部署了多少台,每个国家/地区拥有多少量,可以快速的为他们的研究提供真实的数据支撑能力。

FOFA平台不仅仅可以用于网络安全领域,对于个人来说,也可以用于寻找一些有趣的东西,下面将通过一个简单地案例为大家展示FOFA的能力。

摘自FOFA文档

FOFA语法

FOFA的查询语句由检索字段与逻辑运算符组成。检索字段由相关关键字与等号构成的键值对表示,

逻辑运算符

和C语言一致,FOFA通过&&表示”逻辑与”,通过||表示”逻辑或”

检索字段

检索字段的限定条件为以下关键字与对应值的键值对,其中以is开头的关键字只接受bool值

  • header——HTTP响应头
  • country——国家
  • city——城市
  • region——省份
  • title——HTML的title标签
  • after/before——网站创立的最早/晚时间
  • body——HTML的body标签
  • domain——根域名
  • host——域名
  • ip——可以是x.x.x.x/xxIP段格式或x.x.x.xIP
  • cert——证书中需要包含的内容
  • server——网站使用的服务器
  • icp——备案号
  • app——设备
  • icon_hash——网站icon的hash
  • port——端口
  • status_code——服务器状态吗
  • protocol——应用层协议
  • type——取值为subdomain和service
  • os——服务器操作系统
  • asn——asn
  • org——网站所属组织
  • base_protocol——传输层协议
  • is_honeypot——是否是fofa发现的蜜罐
  • is_ipv6——ipv6与否
  • is_domain——根域名与否
  • ip_ports——搜索指定端口开放的ip地址
  • port_size——开放端口数量
  • port_size_gt——开放端口数量大于
  • port_size_lt——开放端口数量小于
  • ip_country——指定国家的ip
  • ip_region——指定省份的ip
  • ip_after——指定日期后的ip
  • ip_before——指定日期前的ip

FOFA使用案例

preview

Todo

  • 补充通过FOFA命令行工具与API接口的FOFA使用方式
  • 补充FOFA的进阶使用方式
  • 针对每个搜索参数给出详细的示例
  • 补充通过FOFA挖SRC的实例 参考例子1 参考例子2
  • 补充更彻底更完整的FOFA搜索关键字参数

Reference

Awesome-FOFA

  • Title: 网络空间资产测绘初探
  • Author: 7erry
  • Created at : 2023-12-15 00:00:00
  • Updated at : 2023-12-15 00:00:00
  • Link: http://7erry.com/2023/12/15/网络空间资产测绘初探/
  • License: This work is licensed under CC BY-NC 4.0.
On this page
网络空间资产测绘初探
  1. 网络空间资产
  2. 网络空间资产测绘
  3. 主流网络空间资产搜索引擎
  4. 网络空间资产搜索引擎的使用
    1. FOFA简介
    2. FOFA语法
    3. FOFA使用案例
  5. Todo
  6. Reference