依稀記得半年前,曾在某安全社區表示過要還大家一個全網最強cms指紋識別,那時候的想法還是很簡單,可能只需要搜集各方工具指紋特征,然后寫個腳本遍歷特征識別,再做一個ui,一個指紋識別的輪子就誕生了,但是很明顯沒有什么意義,我并沒有這么去做,所以放了一段時間去思考,因為我堅信小功能也能搞出大事情。

為什么還要做指紋識別

云悉情報平臺的初衷很簡單,也很粗暴,就是單純的解放白帽子手里的大把工具,因為在安全界有這么一個現象:有編程能力的白帽子喜歡寫工具,以至于同類的工具一找一大把,鑒于個人能力不同,可用性良莠不齊,有些工具“流芳百世”,有些“曇花一現”。

那么作為一個需要用情報搜集的白帽子來說,查詢一個域名相關信息可能需要掏出一堆工具,在打開工具的時候心里其實還是會不自覺的尋思一下這工具會不會有后門,工具好不好用且不說,不同語言工具需要配置不同的環境可真的是難為人。

隨著網絡安全的普及,廠商在進步,白帽子的技術的進步,滲透手法層出不窮,但很多信息搜集渠道與工具卻沒有什么質的改變。

因為第一:這些工具的識別機制沒有及時更新,但是web一直在變,因為大多數白帽子用的工具大部分是沒有更新功能的,也就不存在更新優化這回事。

第二:白帽子需要的是輕便可用,用之即來,關閉即走,有多少人因為工具弄得麻煩還沒有盡可能的搜集所有信息。

所以,云悉指紋作為情報平臺的第一個應用,應運而生,它不是一個工具,也不是一個在線工具,而是一個可持續發展的平臺。

傳統的指紋識別工具的有以下通病:

1.指紋特征有限

2.如果個人豐富指紋庫需要耗費大量的時間與精力,渠道也有限

3.工具識別機制不完善

4.效率有限

現在,這些瑣事交給云悉即可,你負責用。

官網地址:云悉CMS指紋識別(www.yunsee.cn)

介紹一下云悉指紋

從初始的按指紋規則一個個遍歷請求 判斷結果腳本,到現在的云悉指紋經歷了無數個版本迭代與無數次的性能調優,但每當看到白帽子對云悉的認可,回過頭來,覺得一切的付出都是值得的。

平臺功能:

1.目前可識別cdn,waf,容器及CMS指紋等信息。

2.目前可識別wordpress版本,國外部分cms版本,后面會支持更多版本信息查詢。

3.個人中心支持申請API,可自行接入平臺或工具使用。

4.支持指紋提交與指紋糾正,我們會認真人工核實每個指紋,以及所有誤報提交我們都會人工糾正。

 

識別方式:

指紋識別的技術點其實也還是眾所周知的幾個識別方向:

1.header判斷

2.body關鍵詞匹配

3.url md5對別

4.url狀態碼判斷

5.404頁面判斷

識別架構:

1.目前采用分布式識別,每個網站的識別請求由多臺服務器分擔,可以一定程度解決waf頻率攔截問題(后期將徹底解決頻率問題)

2.識別優化:盡可能一個請求識別更多的特征。

來點數據:

目前總指紋特征量:4896

識別次數:8300(上線4天)

總體識別率:63.2%

ps:在此感謝為平臺提交指紋的白帽子們。

誤報問題:

我們有很大一部分時間在解決誤報問題,為什么會誤報?因為各種千奇百怪的網站都有啊。

有的waf會瞬間攔截敏感請求,直接封ip

有的網站任意不存在頁面返回200,而且不同后綴誤報頁面還不一樣。

需要識別各種響應頁,有的是debug頁面,有的是waf攔截,有的任意頁面返回css,js,總之各種奇葩,需要盡可能的考慮各種場景。

未來方向:

識別更快速,更精準,擴充更多指紋特征。

未來在指紋識別這一塊可能會用機器學習去判斷一些場景。

最重要的一點是,對于那些定制開發識別不了的網站,我們也會提供一些有價值的信息,暫時保密。

未來可能還有更長的路要走,因為還有情報平臺等更多白帽子實用功能發布。

 

再次感謝所有白帽子對云悉情報平臺的支持,鞠躬!

 

我們堅信,用心可以創造一切,功能再小全力以赴。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞