甲方视角通过资产整理+信息收集手段建立威胁情报网

从攻击者的视角去理解资产收集,首先攻击者在拿到目标单位的信息时,通常会采取以下几种方式进行资产收集:

1、 通过域名备案查询平台,查询目标单位的域名备案信息,再通过技术工具进行域名暴破,比如常见的子域名暴破工具。

2、 通过资产测绘平台通过语法收集目标单位的资产信息。

3、 通过ISP号搜集IP信息(限定目标单位的大小)。

4、 通过第三方平台收集域名对应的IP段信息进行语法扩充,即1.1.1.1/24、1.1.1.1/16进行扩充识别。

5、 通过IP与域名的收集,再通过扫描探测等方式,构建HTTP/HHTPS:IP:PORT以及子域名资产表。

6、 通过指纹识别工具,Web资产对应的指纹信息,从而快速利用。

简单来说,就是构成包含字段URL、IP、PORT、Domain、APP(指纹)、TITLE等信息的资产表。

从甲方视角构建资产信息表,建立资产威胁关联图,相对来说比攻击者视角更容易,类似黑白盒测试,甲方视角就是从白盒角度去管理资产及威胁情报网建设。

甲方单位通过应用的立项申请表中,申请表中会包含几个字段单位,比如应用采用的语言、中间件、服务器系统信息、配置清单、数据库架构索引。

其实可以简单理解建这个应用拆分成块,比如该应用采用tomcat中间件,则可以从cve库,第三方漏洞库中,关联该中间件的漏洞信息及依次类推。当然也可以更加细致的拆分,比如java组件(shiro、fastjson等等)。从而形成该资产的组件库信息。

类似这种平台其实已经有厂商在做了。我们只要把我们收集的情报信息录入这个系统,即会匹配出受影响的业务系统,从而高效的管理。

posted @   Cysec  阅读(12)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 推荐几款开源且免费的 .NET MAUI 组件库
· 实操Deepseek接入个人知识库
· 易语言 —— 开山篇
· Trae初体验
点击右上角即可分享
微信分享提示