网站安全测试前期搜集信息的自动化统计分析



      现阶段许多信息内容收集类软件或是内容基本上滞留在信息内容收集的早期环节,许多内容

或是软件都是在侧重于扩宽信息内容收集的方法,从百度搜索引擎、处于被动DNS到工程爆破词

典的多元性这类,难得少有提及在得到这类信息内容以后是不是须要处理及其如何处理。除此之

外,也普遍存在一部分渗透测试技术人员每一次信息内容收集的情况下把結果放进文本文档中,

甚至有每回渗透测试基本上都需要开展1次全新升级的信息内容收集环节。这类方法缺点比较突

出,一种是导致了较为大的時间耗费,二是收集信息内容的2次使用十分繁杂,不足智能化,中

后期还须要很多的人力参与研究。
 
 
为了更好地处理之上2个难题,顺理成章就普遍存在了信息内容收集的中后期环节,也就是这篇

文章标题所要探讨的——信息内容收集中的智能化数据统计分析。提及信息内容收集实际上大

伙儿都不怎么生疏,可是也许有些人会有疑问信息内容收集中的数据统计分析是啥?在讲数据

统计分析以前我们考虑1个较为普遍的难题,有什么方法来明确2个域名是相同企业的财产,阅

读者在公开回答以前还可以先考虑下这个问题,下边说下小编的考虑:
 
 
ICP备案信息内容
 
WHOIS联络信息内容
 
资格证书信息内容
 
DNS解析信息内容
 
WHOIS-NAMESERVER信息内容
 
网页页面反应信息内容
 
 
1-4相应比较好了解,这儿实际说下5和6,因为许多大企业选用搭建DNS,因此 其网站域名基本

上都是会指向搭建DNSNAMESERVER,这一特点还可以做为是不是对同公司资产的标准其一,

实际能看下面的图qq.com的域名信息;网页页面反应信息内容这儿则还可以根据CSP的头,网

页页面相似性、引进静态数据网络资源的网站域名、企业网站的环境变量等。根据所述这6种方

法来明确是不是同企业的环节便是1个数据统计分析的环节,我们与此同时还可以发觉这一确定

方法是可逆转的,换句话说在我们了解在其中1个网站域名,要想了解该企业别的网站域名的情

况下,那麼之上方法依然见效。要问为何要做智能化数据统计分析,那麼最先要了解智能化数

据统计分析的目地。我了解的数据统计分析具体包含2个目地,一种是扩而充之,二是去其糟粕

。这两个实际上全部都是比较好了解的,扩而充之和信息内容收集的标准基本相同,主要是尽

量多而全的收集到目标信息内容,而去其糟粕则是确定目标信息内容,除去不相干噪声信息内

容,以防伤到无辜的与此同时也防止为自己造成 某些多余的不便。
分享: