漏洞信息收集之——资产梳理

妖狐艹你老母 2023-02-26 02:24 29阅读 0赞

# 资产梳理 #

复习复习着突然发现 少了两篇文章？ 哈哈  
着实迷惑了 最重要的nmap竟然都没了 补上！

> 有了庞大的域名，接下来就是帮助 SRC 梳理资产了。域名可以先判断存活，活着的继续进行确定 IP 环节。根据 IP的分布，CMS,指纹，确定企业的公网网段，进行整理。对前期收集到的信息整理是一项不小的工程，精准度比较难以拿捏。

不过通过不断实战，肯定可以琢磨出一些东西，所以有人称白帽子可能会比企业的运维更了解资产信息。  
资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等，可能会用到已下相关链接地址：

> SRC 众测平台  
> 国际漏洞提交平台 https://www.hackerone.com/  
> BugX 区块链漏洞平台 http://www.bugx.org/  
> Gsrc 瓜子 src https://security.guazi.com/  
> 区块链安全响应中心 https://dvpnet.io/  
> CNVD 国家信息安全漏洞平台 http://www.cnvd.org.cn/  
> 漏洞银行：https://www.bugbank.cn/  
> 360 补天：https://www.butian.net/  
> 教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

> 国内平台  
> 知道创宇 Seebug 漏洞平台 https://www.seebug.org/  
> 工控系统行业漏洞平台 http://ivd.winicssec.com/  
> 打造中文最大 exploit 库 http://www.expku.com/  
> 为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/  
> 一家管理漏洞收集的平台 http://www.0daybank.org/

> 国外平台  
> 国际漏洞提交平台 https://www.hackerone.com/  
> xss poc http://xssor.io/  
> oday 漏洞库 https://www.0day.today/  
> 路由器漏洞库 http://routerpwn.com/  
> cve 漏洞平台 http://cve.mitre.org/
> 
> 威胁情报  
> 安全数据交流平台 https://www.secsilo.com/  
> 华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do  
> 威胁情报共享平台 https://www.threatcrowd.org/  
> 被黑站点统计 http://www.hacked.com.cn/

> 社工库 这个说实在的没啥用 好的社工库都搭建在自己服务器了 没有很好的资源  
> 写一点相关的吧  
> 微信伪造 http://www.jietuyun.com/  
> 任意邮箱发送 http://tool.chacuo.net/mailanonymous 和 https://emkei.cz/  
> 临时邮箱（无需注册） http://www.yopmail.com/  
> 邮箱池群 http://veryvp.com/  
> 社工库 http://www.uneihan.com/  
> 钓鱼测试