安全圈裡的fofa到底是是一個什麼樣的網站?他和zoomeye有什麼不同??
安全圈裡的fofa到底是是一個什麼樣的網站?他和zoomeye有什麼不同??
哈哈哈,我是作者,FOFA關了一年,現在又開了,改進了很多內容,歡迎再次感受 ;) https://fofa.so
【知乎真的體驗越來越差,本來是「評論」回復5樓 「匿名用戶」 結果告訴我字數超長了,所以只能當回答了!!!!】
因為知乎這個用戶體驗問題,本來很少來知乎了,無意看到這個帖子及回復 感覺樓主可能有點誤解 所以在這裡說明下:
0x01 關於「自由度」的問題
「zoomeye不開放國內資產「 說法是不對的!只需要實名制用戶使用中國IP就可以查詢國內資產,這個主要是考慮到某些政策合規的採取的措施這個很多數據類、視頻類的網站都使用這種方式。
0x02 關於「爬取能力、組件劃分」的問題
樓主列舉的這些數據指標其實我平時很少關注,看到這個帖子後我還真糾結了一下,於是發現到如果直接看這裡列舉一些數據指標差距還非常大。分析了下後發現這裡可能存在每個平臺標準不太一樣的問題。
談這個問題之前,我這裡先說明下ZoomEye的數據計算及更新機制:
ZoomEye的數據是按banner數來計算的(比如說1個IP上4個埠banner被ZoomEye掃描到了那麼這個就算4條數據結果),那麼ZoomEye的線上數據更新機制是通過最新數據覆蓋老數據方式來更新的(比如第一次掃描1個ip開80、21兩個埠,第二次掃描這個ip只看了80埠,那麼會用第2次掃描的80埠的banner數據覆蓋第一次掃描得到的數據,至於21埠因為第2次掃描沒有開放或者說沒有探測到,那麼ZoomEye上的結果還會是第一次掃描的結果)
然後我們再看看「設備/站點」的問題:ZoomEye的站點其實就是收集到的域名地址(極少數跟ip的hostname有重疊),設備是純IP地址在今年上線IPv6地址之前就是純IPv4的地址。
接著我們看看「協議」(組件)的部分,對於這部分每個平臺都依賴自己的識別機制,這個也就是我們經常看到unknown這個欄位,因為大家用的識別方法不一樣導致的準確度也可能存在差異。
綜合上面的一些基礎說明,我們可以看看「埠數據」部分,這裡我們用80埠為例:
ZoomEye https://www.zoomeye.org/searchResult?q=port%3A80 上是不包括「站點」部分的數據的
fofa https://fofa.so/result?qbase64=cG9ydD04MA%3D%3D 上是包括了「Website」數據的
所以這個就是一個典型的標準不一樣,我們再來看看ZoomEye的「站點」 跟 fofa的 「Website」是不是一樣? 上面的基礎介紹說得很清楚了ZoomEye的站點就是域名地址,我們注意到fofa的「Website」 https://fofa.so/result?qbase64=cG9ydD04MCAmJiB0eXBlPSJzdWJkb21haW4i 是包含了IP跟域名的,所以這個也是非常奇怪的地方。
【註:因為我本人很少使用fofa,所以可能有使用方法不對的地方,還請指教】
於是我推斷可能重複記錄的可能性,在website結果裏選一個ip驗證一下,如:FOFA Pro - 搜索結果 除去2個域名地址,這個ip的80數據算了2個類型 一個是website 一個是server 算了2次 當然還有一些存在重複的地方這裡就不一一說了
所以我想說通過這個例子可以說明各個平臺的一些標準的不太一樣,可能要做一些深入的測試纔好找到比較合適的指標。
最後ZoomEye在網路空間測繪上我們是非常認真的,歡迎大家提各種意見 !
--- by ZoomEye臨時工產品經理 heige
zoomeye是看網路上受某個漏洞影響的設備有多少,意義在於用數據說明一個漏洞的影響到底有多大也許有其他進階用途,不過那至少也是你手上有POC之後
fofa是你搞了或看別人搞一個網站之後,根據特徵值構建查詢語法,發現一大堆同樣能被搞的網站
也許他有其他用途,不過我只知道結合烏雲這一種正♂確用法所以我認為兩者除了都是龐大的漂亮的爬蟲以外,並沒有什麼相同之處fofa相對於zoomeye比較開放吧,並且除了搜索還有其他的功能,比如子域名查詢。zoomeye指紋和組件做的好一些,比fofa抽象程度更高。
zwell真是個人才!
3年前的問題,此時網站分別開放一年多。
zoomeye by knowsec ;fofa by nosec。應該是evilscos和zwell主導開發。
whois顯示,zoomeye註冊於13-06,fofa註冊於13-11,兩者都晚於上個十年誕生的shodan。
0x01 自由度 fofa&>zoomeye
在很多情況,zoomeye不開放國內資產。同時,為防止惡意使用,對zoomeye只能獲取總結果的30%,同時涵蓋10,000結果條數上限。
fofa無限制。shodan亦無限制。
這很大程度影響了用戶體驗。
0x02 爬取能力、組件劃分 fofa&>zoomeye
(2018-03-20,官網web端顯示)
設備/覆蓋服務數——zoomeye:4億 fofa:576,270,765
站點——zoomeye:132,122,600 fofa:440,654,486
組件/覆蓋規則數——zoomeye:7,943 fofa:18,395
http協議—— zoomeye:47,169,007 fofa:290,896,372
https協議——zoomeye:1735() fofa:91,530,494
80埠——zoomeye:27,808,324 fofa:342,579,859
443埠——zoomeye:11,294,613 fofa:169,273,032
22埠——zoomeye:12,774,450 fofa:48,254,182
0x03 漏洞 zoomeye&>fofa
zoomeye關聯seebug,fofa在pc端內置poc商城
zoomeye顯示查詢結果同時,給出了關聯漏洞。同時在活躍度,開放度,和平臺挖掘數上,zoomeye十分佔優。
當然,兩平臺在心臟滴血等大型漏洞事件上都有所表現。
0x04 編寫語言、掃描節點行為統計分析、針對協議(工控等)(待補充)
0x05 總結
如果只給兩個空間維度,廣度和深度,fofa廣,zoomeye深。配合使用,效果更好。
from 安全圈外小白觀察者
哈哈,必須贊一下!作者zwell大神親自來回答了
fofa.so是誰搞出來的,有沒有交流羣討論討論
推薦閱讀:
