WEB安全學習筆記搬運
3.信息收集
3.1 Whois
Whois 可以查詢域名是否被註冊,以及註冊域名的詳細信息的數據庫,其中可能會存在一些有用的信息,例如域名所有人、域名註冊商、郵箱等。
3.2 搜索引擎搜索
在任意搜索引擎上運用site:domain來查詢
3.3 第三方應用查詢
網絡中也有很多第三方應用可以提供查詢子域,如:
| DNSDumpster |
|---|
| Virustotal |
| CrtSearch |
| threatminer |
| Censys |
3.4 ASN信息關聯
在網絡中一個自治系統(Autonomous System, AS)是一個有權自主地決定在本系統中應採用何種路由協議的小型單位。這個網絡單位可以是一個簡單的網絡也可以是一個由一個或多個普通的網絡管理員來控制的網絡羣體,它是一個單獨的可管理的網絡單元(例如一所大學,一個企業或者一個公司個體)。
一個自治系統有時也被稱爲是一個路由選擇域(routing domain)。一個自治系統將會分配一個全局的唯一的16位號碼,這個號碼被稱爲自治系統號(ASN)。因此可以通過ASN號來查找可能相關的IP,例如:
whois -h whois.radb.net -- '-i origin AS111111' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq
nmap --script targets-asn --script-args targets-asn.asn=151693.5 域名相關性
同一個企業/個人註冊的多個域名通常具有一定的相關性,例如使用了同一個郵箱來註冊、使用了同一個備案、同一個負責人來註冊等,可以使用這種方式來查找關聯的域名。一種操作步驟如下:
- 查詢域名註冊郵箱
- 通過域名查詢備案號
- 通過備案號查詢域名
- 反查註冊郵箱
- 反查註冊人
- 通過註冊人查詢到的域名在查詢郵箱
- 通過上一步郵箱去查詢域名
- 查詢以上獲取出的域名的子域名
3.6 網站信息利用
網站中有相當多的信息,網站本身、各項安全策略、設置等都可能暴露出一些信息。
網站本身的交互通常不囿於單個域名,會和其他子域交互。對於這種情況,可以通過爬取網站,收集站點中的其他子域信息。這些信息通常出現在JavaScript文件、資源文件鏈接等位置。
網站的安全策略如跨域策略、CSP規則等通常也包含相關域名的信息。有時候多個域名爲了方便會使用同一個SSL/TLS證書,因此有時可通過證書來獲取相關域名信息。
3.7 證書透明度
爲了保證HTTPS證書不會被誤發或僞造,CA會將證書記錄到可公開驗證、不可篡改且只能附加內容的日誌中,任何感興趣的相關方都可以查看由授權中心簽發的所有證書。因此可以通過查詢已授權證書的方式來獲得相關域名。
3.8 域傳送漏洞
DNS域傳送(zone transfer)指的是冗餘備份服務器使用來自主服務器的數據刷新自己的域(zone)數據庫。這是爲了防止主服務器因意外不可用時影響到整個域名的解析。
一般來說,域傳送操作應該只允許可信的備用DNS服務器發起,但是如果錯誤配置了授權,那麼任意用戶都可以獲得整個DNS服務器的域名信息。這種錯誤授權被稱作是DNS域傳送漏洞。
3.9 Passive DNS
Passive DNS被動的從遞歸域名服務器記錄來自不同域名服務器的響應,形成數據庫。利用Passive DNS數據庫可以知道域名曾綁定過哪些IP,IP曾關聯到哪些域名,域名最早/最近出現的時間,爲測試提供較大的幫助。Virustotal、passivetotal、CIRCL等網站都提供了Passive DNS數據庫的查詢。
3.10 SPF記錄
SPF(Sender Policy Framework)是爲了防止垃圾郵件而提出來的一種DNS記錄類型,是一種TXT類型的記錄,用於登記某個域名擁有的用來外發郵件的所有IP地址。通過SPF記錄可以獲取相關的IP信息。
3.11 CDN
3.11.1 CDN驗證
可通過多地ping的方式確定目標是否使用了CDN,常用的網站有 http://ping.chinaz.com/
https://asm.ca.com/en/ping.php 等。
3.11.2 域名查找
使用了CDN的域名的父域或者子域名不一定使用了CDN,可以通過這種方式去查找對應的IP。
3.11.3 歷史記錄查找
CDN可能是在網站上線一段時間後才上線的,可以通過查找域名解析記錄的方式去查找真實IP。
3.12 子域爆破
在內網等不易用到以上技巧的環境,或者想監測新域名上線時,可以通過批量嘗試的方式,找到有效的域名。