网络空间搜索引擎- FOFA的使用技巧总结
关键要点
- FOFA 是一款网络空间搜索引擎,适合网络安全研究和资产管理。
- 基本搜索包括标题、HTTP 头、正文、URL、端口、IP 等字段,使用简单语法如
title="关键词"。 - 高级搜索支持逻辑运算符(如
&&、||)和时间范围(如after="2017")。 - 特征 ID (FID) 可快速匹配类似资产,适合漏洞挖掘和企业保护。
FOFA 简介
FOFA 是一款由白帽汇推出的网络空间搜索引擎,通过网络空间测绘帮助用户快速匹配网络资产,适用于漏洞影响分析、应用分布统计等场景。它支持搜索标题、HTTP 头、正文、URL、端口、IP 等多种字段,适合网络安全研究人员、企业安全团队和白帽子用户。
基本使用方法
- 搜索字段:使用
title="关键词"搜索标题,header="关键词"搜索 HTTP 头,body="关键词"搜索正文,host="域名"搜索 URL 等。 - 示例:
title="后台管理"查找包含“后台管理”的网站,port="7001"查找开放 7001 端口的 IP。
高级功能
- 逻辑运算符:使用
&&(与)、||(或)、!=(不等于)、==(精确匹配),如title="powered by" && title!=discuz。 - 时间范围:
after="2017"搜索 2017 年及以后的资产,before="2017-10-01"搜索 2017-10-01 前的资产。 - 特征 ID (FID):聚合关键特征(如 IP、域名)为标签,快速找到类似资产,如搜索
title="chatgpt"后用 FID 匹配相似网站。
使用场景
FOFA 适合企业梳理公网暴露资产、漏洞挖掘和研究分析,官网为 [[invalid url, do not cite]),语法参考 [[invalid url, do not cite])。
详细报告:FOFA 网络空间搜索引擎使用技巧总结
引言
FOFA 是一款由白帽汇推出的网络空间搜索引擎,通过网络空间测绘帮助用户快速匹配网络资产,广泛应用于网络安全领域。它的功能涵盖漏洞影响范围分析、应用分布统计、应用流行度排名统计等,适合研究人员、企业安全团队和白帽子用户。本报告总结了 FOFA 的使用技巧,旨在为用户提供全面的指导。
FOFA 的功能与背景
FOFA 通过对全网网络资产的统计、分析和获取信息,为用户提供漏洞及时发现、漏洞发生后的快速定位以及安全数据分析等服务。它的核心能力包括设备指纹识别、漏洞扫描和定制搜索,支持对标题、HTTP 头、HTML 正文、URL、端口、IP、协议、城市、行政区、国家、证书、操作系统、服务器版本和设备名称等进行搜索。
根据 2023 年和 2024 年的相关文章,FOFA 被广泛用于企业资产暴露面梳理、白帽子漏洞挖掘和研究分析,特别是在网络安全领域具有重要价值。
基本搜索语法
FOFA 的搜索语法简单直观,支持多种字段,具体如下:
| 字段 | 描述 | 示例 |
|---|---|---|
title | 搜索标题中包含关键词的网站 | title="后台管理" |
header | 搜索 HTTP 头中包含关键词的网站 | header="weblogic" |
body | 搜索 HTML 正文中包含关键词的网站 | body="注册" |
host | 搜索 URL 中包含关键词的网站 | host="jd.com" |
port | 搜索特定端口号开放的 IP | port="7001" |
ip | 搜索特定 IP 地址或 IP 段 | ip="172.16.0.1" 或 ip="172.16.0.1/24" |
protocol | 搜索特定协议类型的资产 | protocol="ftp" |
city | 搜索特定城市的资产(城市名全称,首字母大写) | city="Chengdu" |
region | 搜索特定行政区的资产 | region="MianYang" |
country | 搜索特定国家的资产(国家编码) | country="CN" |
cert | 搜索证书中包含关键词的资产 | cert="google" |
os | 搜索特定操作系统的资产 | os="Linux" |
server | 搜索特定服务器版本的资产 | server=="Microsoft-IIS/7.5" |
app | 搜索特定设备名称的资产 | app="海康威视-视频监控" |
这些字段可以单独使用,也可以组合使用,满足不同场景的需求。例如,搜索中国的开放 3388 端口的 IP 可以写为 port="3388" && country="CN"。
高级搜索运算符
FOFA 支持多种逻辑运算符,用于组合和精炼搜索条件,具体如下:
| 运算符 | 描述 | 示例 |
|---|---|---|
&& | 逻辑与 | title="powered by" && title!=discuz |
|| | 逻辑或 | header="x-pingback" || header="thinkphp" |
!= | 不等于 | title!=discuz |
== | 精确匹配 | server=="Microsoft-IIS/7.5" |
() | 分组条件 | (title="后台管理" || title="admin") && country="CN" |
这些运算符可以帮助用户更精确地定义搜索条件,例如排除某些结果或组合多个条件。
时间范围搜索
FOFA 支持根据时间范围进行搜索,适合历史数据分析:
after="年份":搜索指定年份及以后的资产,例如after="2017"表示从 2017-01-01 开始。before="年份-月份-日期":搜索指定日期以前的资产,例如before="2017-10-01"表示在 2017-10-01 之前。
这种功能特别适合研究特定时间段内的资产变化或漏洞历史。
特征 ID (FID) 与规则集
FOFA 提供了特征 ID (FID) 和规则集功能,用于提高搜索效率:
- FID:将多个关键特征(如 IP 地址、域名、网站标题、图标等)聚合成一个标签,用于匹配具有类似特征的网站。例如,搜索
title="chatgpt"后,可以通过 FID 找到具有相同指纹的其他资产。 - 规则集:结合多个关键特征形成可导航的规则指纹,适合快速搜索特定类型的资产,例如搜索“海康威视”摄像头时,可以使用预排序的导航标签。
这些功能特别适合大规模资产匹配和漏洞挖掘。
使用案例与场景
FOFA 的应用场景非常广泛,以下是几个典型案例:
- 企业资产暴露面梳理:帮助企业了解其在公网上暴露的资产,及时发现和修复漏洞。例如,通过
host="企业域名"搜索所有相关资产,评估暴露面。 - 漏洞挖掘:白帽子可以通过 FOFA 快速收集特定产品在全网的资产总量和地区分布,评估漏洞影响范围。例如,搜索
app="特定产品"后分析其分布。 - 研究分析:研究人员可以使用 FOFA 进行应用分布统计、流行度排名统计等,例如分析全球某个摄像头品牌的部署情况。
官方资源与注意事项
- 官网:[[invalid url, do not cite])
- 语法参考:[[invalid url, do not cite])
在使用 FOFA 时,建议注意以下几点:
- 确保搜索条件合法合规,避免涉及敏感信息或非法用途。
- 结合 FID 和规则集提高搜索效率,特别是在处理大规模数据时。
- 对于历史数据分析,充分利用时间范围搜索功能。
总结
FOFA 作为一款强大的网络空间搜索引擎,为用户提供了丰富的搜索功能和高级特性。通过学习和实践其搜索语法和技巧,可以更有效地进行网络资产的搜索和分析,尤其适合网络安全研究人员、企业安全团队以及白帽子用户。
参考资料