漏洞信息收集之——资产梳理

资产梳理

复习复习着突然发现 少了两篇文章？ 哈哈
着实迷惑了 最重要的nmap竟然都没了 补上！

有了庞大的域名，接下来就是帮助 SRC 梳理资产了。域名可以先判断存活，活着的继续进行确定 IP 环节。根据 IP的分布，CMS,指纹，确定企业的公网网段，进行整理。对前期收集到的信息整理是一项不小的工程，精准度比较难以拿捏。

不过通过不断实战，肯定可以琢磨出一些东西，所以有人称白帽子可能会比企业的运维更了解资产信息。
资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等，可能会用到已下相关链接地址：

SRC 众测平台
国际漏洞提交平台 https://www.hackerone.com/
BugX 区块链漏洞平台 http://www.bugx.org/
Gsrc 瓜子 src https://security.guazi.com/
区块链安全响应中心 https://det.io/
CNVD 国家信息安全漏洞平台 http://www.cnvd.org.cn/
漏洞银行：https://www.bugbank.cn/
360 补天：https://www.butian.net/
教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

国内平台
知道创宇 Seebug 漏洞平台 https://www.seebug.org/
工控系统行业漏洞平台 http://ivd.winicssec.com/
打造中文最大 exploit 库 http://www.expku.com/
为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/
一家管理漏洞收集的平台 http://www.0daybank.org/

国外平台
国际漏洞提交平台 https://www.hackerone.com/
xss poc http://xssor.io/
oday 漏洞库 https://www.0day.today/
路由器漏洞库 http://routerpwn.com/
cve 漏洞平台 http://cve.mitre.org/

威胁情报
安全数据交流平台 https://www.secsilo.com/
华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报共享平台 https://www.threatcrowd.org/
被黑站点统计 http://www.hacked.com.cn/

社工库 这个说实在的没啥用 好的社工库都搭建在自己服务器了 没有很好的资源
写一点相关的吧
微信伪造 http://www.jietuyun.com/
任意邮箱发送 http://tool.chacuo.net/mailanonymous 和 https://emkei.cz/
临时邮箱（无需注册） http://www.yopmail.com/
邮箱池群 http://veryvp.com/
社工库 http://www.uneihan.com/
钓鱼测试