摘要
信息收集是渗透测试过程中不可或缺的一步,信息收集的方式可分为主动和被动,为了提高渗透测试人员在进行被动信息收集时的效率,本文开发了基于被动信息收集的Web安全评估系统.系统采用Python开发,利用Scrapy爬虫框架对第三方被动信息收集网站进行数据爬取与整合,系统实现功能有对目标进行备案、Whois、子域名、子域名IP、子域名CMS、子域名Shodan、子域名漏洞信息的查询.在对目标进行上述7个方面的信息收集时,相较于传统方式此系统可帮助渗透测试人员在时间上提高近6倍的效率.
Information collection is an indispensable step in the process of penetration testing.The methods of information collection can be divided into active and passive.In order to improve the efficiency of penetration testers in passive information collection,this paper develops a Web security assessment system based on passive information collection.The system adopts Python development and Scrapy crawler framework for data crawling and integration of third-party passive information collection websites.The system realizes the functions of filing the target,Whois,sub-domain name,sub-domain IP,sub-domain name CMS,sub-domain name Shodan,sub-domain name vulnerability information inquiry.This system can help the penetration tester nearly 6 times more efficiently than the traditional method when collecting information on the above 7 aspects of the target.
出处
《科技视界》
2020年第17期37-40,共4页
Science & Technology Vision
基金
安徽省大学生创新创业训练计划项目(AH201612216079)
安徽新华学院示范实验实训中心项目(2019sysxx03)
教育部产学合作协同育人项目(201702139041)
省级质量工程创客实验室项目(2015ckjh117)
省级质量工程项目(2017ghjc228)
省级质量工程项目(2016mooc190)。
关键词
被动信息收集
渗透测试
爬虫
WEB安全
Passive Intelligence Gathering
Penetration testing
Crawler
Web security
