智能汽车安全新媒体
身为拿来主义的忠实拥护者,长亭的各种工具用起来是很香的,xray ,xpoc,牧云,雷池等等工具在工作中是帮了大忙的。
这两天长亭的新平台云图上线了,云图的目标是帮助企业做攻击面的管理,理解下来就是,监测查找暴露面,发现暴露面是否有安全问题,这在安全的工作中也是一个持续性的工作。
通常最笨拙的方法就是各种资产测绘,子域名挖掘,端口扫描,指纹识别,POC扫描各种工作辅佐来完成这一连串复杂的工作,结果就是“累死人”。
在今天用云图之前使用过Rengine和fofahub,每个平台的目的有交差但不完全一致,这俩就不多介绍了,今天就说一下用云图的感受。为什么要说它,因为原本只是想试用一下看看效果,结果它就给我找出了好多漏洞,感觉平时工作都白干了!!!!
它能帮我干啥
上图,云图的主页展示了它的所有功能,可以收集域名,收集ip,收集端口和指纹,发现web资产以及使用的web组件,最最最最最重要的,它可以检测漏洞啊,我猜这背后可能是xray在发力。
怎么使用它
开通云图极速版,进入百川云平台开通
云图极速版地址
https://rivers.chaitin.cn/landing/atlantis
产品开通教程
https://www.bilibili.com/video/BV1Ru4y1b7cN/
开通之后,需要添加扫描对象,因为云图面向的是企业,所以你只需要告诉它你公司的名字叫啥就行了,剩下的都不用你管,都交给它来处理就完事了。
云图收到你公司的名字之后,会通过备案的公司名字,查找出公司备案的主域名,之后会采集子域名,然后采集域名解析的ip地址,再通过这些ip地址去探测开放的端口,识别端口指纹,识别出web资产以及web组件,最后利用上面收集的web资产和组件进行漏洞扫描,右上角的开关可以自由控制手动开启扫描还是每天自动扫一遍。
备案域名处会列出你司相关域名
域名解析的地方会列出子域名,实测的结果真的可以发现超级多的子域名。
IP地址这地儿就是域名解析后相关的ip信息了,ip会关联域名以及端口情况,在这儿做资产梳理也是相当不错的。
端口展示,端口指纹等信息
web资产识别
web组件识别统计
安全风险展示,不是专业版的看不到漏洞详情,但无伤大雅,漏洞名称和地址都知道了,就不愁不知道漏洞细节,毕竟xpoc和xray不要钱!!!
使用场景-适合谁用
适合有众多互联网业务的企业
适合安全开发以及维护资源不足的,但对于互联网业务安全性有较强需求的企业
非常适合我这种懒人使用,极度适合懒人!!!
重要提示:高级版现在1元一个月,没钱也用的起!!!
内容来源:
blog.csdn.net/woainiainiaini/article/details/134271573
- THE END -
因文章部分文字及图片涉及到引用,如有侵权,请及时联系17316577586,我们将删除内容以保证您的权益。
