关键要点
- FOFA 是一款网络空间搜索引擎,适合网络安全研究和资产管理。
- 基本搜索包括标题、HTTP 头、正文、URL、端口、IP 等字段,使用简单语法如
title="关键词"。 - 高级搜索支持逻辑运算符(如
&&、||)和时间范围(如after="2017")。 - 特征 ID (FID) 可快速匹配类似资产,适合漏洞挖掘和企业保护。
FOFA 简介
FOFA 是一款由白帽汇推出的网络空间搜索引擎,通过网络空间测绘帮助用户快速匹配网络资产,适用于漏洞影响分析、应用分布统计等场景。它支持搜索标题、HTTP 头、正文、URL、端口、IP 等多种字段,适合网络安全研究人员、企业安全团队和白帽子用户。
基本使用方法
- 搜索字段:使用
title="关键词"搜索标题,header="关键词"搜索 HTTP 头,body="关键词"搜索正文,host="域名"搜索 URL 等。 - 示例:
title="后台管理"查找包含“后台管理”的网站,port="7001"查找开放 7001 端口的 IP。
高级功能
- 逻辑运算符:使用
&&(与)、||(或)、!=(不等于)、==(精确匹配),如title="powered by" && title!=discuz。 - 时间范围:
after="2017"搜索 2017 年及以后的资产,before="2017-10-01"搜索 2017-10-01 前的资产。 - 特征 ID (FID):聚合关键特征(如 IP、域名)为标签,快速找到类似资产,如搜索
title="chatgpt"后用 FID 匹配相似网站。
使用场景
FOFA 适合企业梳理公网暴露资产、漏洞挖掘和研究分析,官网为 [[invalid url, do not cite]),语法参考 [[invalid url, do not cite])。
详细报告:FOFA 网络空间搜索引擎使用技巧总结
引言
FOFA 是一款由白帽汇推出的网络空间搜索引擎,通过网络空间测绘帮助用户快速匹配网络资产,广泛应用于网络安全领域。它的功能涵盖漏洞影响范围分析、应用分布统计、应用流行度排名统计等,适合研究人员、企业安全团队和白帽子用户。本报告总结了 FOFA 的使用技巧,旨在为用户提供全面的指导。
FOFA 的功能与背景
FOFA 通过对全网网络资产的统计、分析和获取信息,为用户提供漏洞及时发现、漏洞发生后的快速定位以及安全数据分析等服务。它的核心能力包括设备指纹识别、漏洞扫描和定制搜索,支持对标题、HTTP 头、HTML 正文、URL、端口、IP、协议、城市、行政区、国家、证书、操作系统、服务器版本和设备名称等进行搜索。
根据 2023 年和 2024 年的相关文章,FOFA 被广泛用于企业资产暴露面梳理、白帽子漏洞挖掘和研究分析,特别是在网络安全领域具有重要价值。
基本搜索语法
FOFA 的搜索语法简单直观,支持多种字段,具体如下:
| 字段 | 描述 | 示例 |
|---|---|---|
title | 搜索标题中包含关键词的网站 | title="后台管理" |
header | 搜索 HTTP 头中包含关键词的网站 | header="weblogic" |
body | 搜索 HTML 正文中包含关键词的网站 | body="注册" |
host | 搜索 URL 中包含关键词的网站 | host="jd.com" |
port | 搜索特定端口号开放的 IP | port="7001" |
ip | 搜索特定 IP 地址或 IP 段 | ip="172.16.0.1" 或 ip="172.16.0.1/24" |
protocol | 搜索特定协议类型的资产 | protocol="ftp" |
city | 搜索特定城市的资产(城市名全称,首字母大写) | city="Chengdu" |
region | 搜索特定行政区的资产 | region="MianYang" |
country | 搜索特定国家的资产(国家编码) | country="CN" |
cert | 搜索证书中包含关键词的资产 | cert="google" |
os | 搜索特定操作系统的资产 | os="Linux" |
server | 搜索特定服务器版本的资产 | server=="Microsoft-IIS/7.5" |
app | 搜索特定设备名称的资产 | app="海康威视-视频监控" |
这些字段可以单独使用,也可以组合使用,满足不同场景的需求。例如,搜索中国的开放 3388 端口的 IP 可以写为 port="3388" && country="CN"。
高级搜索运算符
FOFA 支持多种逻辑运算符,用于组合和精炼搜索条件,具体如下:
| 运算符 | 描述 | 示例 |
|---|---|---|
&& | 逻辑与 | title="powered by" && title!=discuz |
|| | 逻辑或 | header="x-pingback" || header="thinkphp" |
!= | 不等于 | title!=discuz |
== | 精确匹配 | server=="Microsoft-IIS/7.5" |
() | 分组条件 | (title="后台管理" || title="admin") && country="CN" |
这些运算符可以帮助用户更精确地定义搜索条件,例如排除某些结果或组合多个条件。
时间范围搜索
FOFA 支持根据时间范围进行搜索,适合历史数据分析:
after="年份":搜索指定年份及以后的资产,例如after="2017"表示从 2017-01-01 开始。before="年份-月份-日期":搜索指定日期以前的资产,例如before="2017-10-01"表示在 2017-10-01 之前。
这种功能特别适合研究特定时间段内的资产变化或漏洞历史。
特征 ID (FID) 与规则集
FOFA 提供了特征 ID (FID) 和规则集功能,用于提高搜索效率:
- FID:将多个关键特征(如 IP 地址、域名、网站标题、图标等)聚合成一个标签,用于匹配具有类似特征的网站。例如,搜索
title="chatgpt"后,可以通过 FID 找到具有相同指纹的其他资产。 - 规则集:结合多个关键特征形成可导航的规则指纹,适合快速搜索特定类型的资产,例如搜索“海康威视”摄像头时,可以使用预排序的导航标签。
这些功能特别适合大规模资产匹配和漏洞挖掘。
使用案例与场景
FOFA 的应用场景非常广泛,以下是几个典型案例:
- 企业资产暴露面梳理:帮助企业了解其在公网上暴露的资产,及时发现和修复漏洞。例如,通过
host="企业域名"搜索所有相关资产,评估暴露面。 - 漏洞挖掘:白帽子可以通过 FOFA 快速收集特定产品在全网的资产总量和地区分布,评估漏洞影响范围。例如,搜索
app="特定产品"后分析其分布。 - 研究分析:研究人员可以使用 FOFA 进行应用分布统计、流行度排名统计等,例如分析全球某个摄像头品牌的部署情况。
官方资源与注意事项
- 官网:[[invalid url, do not cite])
- 语法参考:[[invalid url, do not cite])
在使用 FOFA 时,建议注意以下几点:
- 确保搜索条件合法合规,避免涉及敏感信息或非法用途。
- 结合 FID 和规则集提高搜索效率,特别是在处理大规模数据时。
- 对于历史数据分析,充分利用时间范围搜索功能。
总结
FOFA 作为一款强大的网络空间搜索引擎,为用户提供了丰富的搜索功能和高级特性。通过学习和实践其搜索语法和技巧,可以更有效地进行网络资产的搜索和分析,尤其适合网络安全研究人员、企业安全团队以及白帽子用户。
参考资料
Excellent way of explaining, and good post to take facts about
my presentation focus, which i am going to present in college.
Tһis site was… hoᴡ do you say it? Relevant!!
Finalⅼy I’ve found sοmething which helped mе.
Many thanks!
Hello, I think your website might be having browser compatibility issues.
When I look at your blog in Safari, it looks fine
but when opening in Internet Explorer, it has some overlapping.
I just wanted to give you a quick heads up! Other then that,
wonderful blog!
I used to be suggested this website via my cousin. I’m now not certain whether
this post is written via him as no one else understand
such specified approximately my problem. You’re wonderful!
Thank you!
Heya i am for the first time here. I found this board
and I find It truly useful & it helped me out much. I hope
to give something back and help others like you helped me.
Stop by my page – HTX Khuyến Nông|Nông nghiệp Tây Nguyên|Viện Eakmat Daklak