ZoomEye 钟馗之眼 揪出网络空间中的“鬼”
本帖最后由 刘看山 于 2016-11-17 20:44 编辑为大家介绍的是国内互联网安全厂商知道创宇打造的一个网络空间搜索引擎。先来解释下什么是网络空间。得益于科技的高速发展,现在接入互联网的设备五花八门。除了PC和服务器,还有路由器、物联网家电、平板电脑、手机等,甚至还有监控探头、工业控制中的SCADA系统等比较敏感的设备。这些设备被视作节点,共同组成了我们所处的的网络空间(Cyberspace)。ZoomEye正是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎(无论谁家的搜索引擎都是这样)对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。熟悉的朋友可能会想到Shodan。ZoomEye和Shodan确实很相似,ZoomEye也经常被冠以『中文版 shodan 』的名号。其实 ZoomEye 跟 Shodan 还是有明显区别的。Shodan 主要针对的是设备指纹,也就是与某些特定端口通信之后返回的 banner 信息的采集和索引。而 ZoomEye 除了设备指纹的检测,还针对某些特定服务加强了探测,比如 Web 服务的细节分析。下面放上ZoomEye和Shodan的截图对比下
说到怎么用,你看首页既然跟 Google 长得这么像,自然是输入查询关键词,然后回车看结果。比如你需要查找使用了 Apache 作为 Web 容器的网站,就可以直接输入搜索apache。apache、php、cms 之类的后端软件我们统称为“组件”。
为了更精确展示结果,在最新的版本中我们将设备检索和 Web 服务检索进行了拆分,并提供细化的筛选支持。
关键字模糊搜索
这是最简单的做法,直接输入单词回车就行了。比如直接输入 router 后点击“公网设备”即可查找 banner(设备返回的“旗帜”信息)中含有“router”单词的设备,大部分都是路由器。
按国家 / 地区搜索
在搜索条件中增加 country 筛选器可以限定结果的地理位置,如 country: US 即万恶的美帝……嗯。country 后面可以跟二位英文代码以及国家 / 行政区的完整英文名,不过你并不需要记忆这些东西,在你输入 country: 这个前缀之后,搜索框会自动展开列出所有备选的项目。
按照组件和版本搜索
组件名的筛选器格式有了变动。现在搜索组件名+版本的语法为 app:组件名 ver:版本
设备检索和 Web 服务检索被分成两个入口,原因是这两者具有一些各自独有的筛选器。
设备指纹独有的筛选器
port: 端口号
service: 服务名
hostname: 主机名
ip: IP 地址(目前仅支持 IPv4)
网站指纹特有的筛选器
headers: HTTP 头信息
keywords: 关键词,即 SEO 最基本的做法,在 <meta name="Keywords"> 中定义的短语
desc: 页面描述,即在 <meta name="description"> 中定义的页面描述。
title: 页面标题
另一方面,“如何使用”在广义上也可以理解为如何正确利用这个工具。
之前网上盛传的一篇文章: 如何用ZoomEye(钟馗之眼)批量获得站点权限就是一个反例。比起 Google Hack 的方式,ZoomEye 的查询能力要更为直接,精确到后台系统版本的检索会让一些不坏好意的人更方便地寻找到攻击目标。所以目前 ZoomEye 在使用上做了一些限制,前面引用的文章也提到了这一点。
比起限制,其实开放才是互联网安全最需要的精神。ZoomEye 能够直观统计出漏洞的即时分布情况,在一定程度上感知安全事件的影响和动向。借助 ZoomEye 的力量,我们能感受到互联网的心跳。我个人的观点是,只有把问题拿到阳光下,才会督促安全漏洞的解决,促进互联网行业的良性发展。当然这种促进也包括更多依赖于互联网,生存在网络空间中的行业。这也是我们期望中 ZoomEye 的正确利用方式。
他的好处也正是前面提到的安全事件“透明化”。这几年爆炸性的信息安全事件越来越多地出现在传统媒体上,信息安全不再是少数行业人士私下交流的技术,而是关乎每一个人生活的实实在在的问题。公开化不能立刻改善系统的安全性,但对开发者、运营者、决策者和用户的意识都能起到极大的提升作用。
安全事件透明化自然会有弊端。未修补的漏洞(0day)在解决方案出来之前广泛传播,导致的后果将非常严重,如2013 年 7 月的 Struts2 漏洞实际带来的影响,正是厂商不负责任地披露细节的乌龙。一些企业也会顾虑,安全事件的披露将会导致产品形象的受损,引发信任危机。如这两天刷屏的携程信用卡事件。无论如何,出事之后,作为受害者的用户需要知情权。更何况这些事情与公开化本身并无太大关系,本质上都是厂商面对问题的处理态度和措施的问题。
尽管存在争议,希望 ZoomEye 能够发挥自己的魔力,为创建更好更安全的互联网做出贡献。
部分转载自知乎
作者:周知日
链接:https://www.zhihu.com/question/23119806/answer/23737833
来源:知乎
著作权归作者所有,转载请联系作者获得授权。
这是一场战争 发表于 2016-11-15 10:29
TP-LINK可以搜索到好多
搜索tplink确实是多,但是tplink主要做的还是家庭级的产品。可以试试搜索下h3c,cisco, hikvision这类的,会查到更多,而且这种的漏洞如果被利用了,危害会更大。 猫捉老虎 发表于 2016-11-15 08:15
小白求问这个有什么用?
能搜索到网络上的各种设备的漏洞,包括各种服务器,但不仅局限于此。除此之外连接到网络上的工控设备以及安防设备都能搜索到。 又发现神器了,厉害 楼主霸气 前段时间美国公开拒绝国内某硬件厂商的产品就是一个很好的事例。 真是无所不能呀 学习了。。。 文章呀,还以及是软件。 小白求问这个有什么用? 科普了!!!这么高端,以后看来是不能上网了! 我只想说牛比起。使用限制求大牛搞搞。