大牛星球：漫谈攻击面管理-1

什么是攻击面？什么又是攻击面产品？

可能大家的公司都会有一些资产暴露在互联网上，比如说对外提供服务，然后用户过来使用，但是这些服务难免会有一些风险，比如说我的这个鉴权不够，或者有些安全漏洞可能会被利用然后被入侵进来，所以说我们会帮企业去梳理它可能会被入侵的这些方方面面，我们在帮企业去梳理黑客入侵路径的这个路径就是我们的攻击面。

攻击面与互联网暴露面管理是一回事吗？

在云图里面其实会有自己的考虑以及说我们自己的概念，就是我们云图里面会分为三部分的这个攻击面的信息，第一部分是我们的这个基础的自然信息，比如说你的域名、子域名、IP，然后还有一部分是我们暴露面信息，比如说我们的网站、端口、组件，然后第三部分是我们的安全风险，我们需要去关注可能会被入侵的一些点，所以说我们是分为这三部分。那在我们这个产品里面，攻击面可能会一部分包含我们这个互联网暴露面。

没有做过公网解析的 IP 能不能找到？

云图这款产品是融合了就是我们猪猪侠和长亭一些师傅们的攻防经验，所以说像一些你没有暴露出来的我们也可能找到。我举个例子，比如说我可以从你证书的备案信息然后去发现你可能有没有对外透露的一些域名啊、IP啊对吧，可能大家图方便就把所有域名打到一个证书里去用，所以这个虽然说你没有暴露出来，但我们也是可以发现的。

云图和 xray 的区别是什么？

xray 更像是一个工具，比如说像螺丝刀或锤子，我要拧螺丝的时候我找一个螺丝刀出来，这个可能就是类似于 xray 是一个工具，但是你什么时候去使用什么工具需要你人工去判断，云图的话会把我们一些经验和我们攻防的知识融合在里面，他可能背了一个工具箱然后遇到什么他就去用什么工具，是一个自动的过程，不需要我们自己去判断，就只需要告诉他你去把那个东西检查一下就可以了，所以说用什么你不需要关注。

了解更多，可以观看直播回放噢，b 站搜索「大牛星球」：https://b23.tv/ov2tEFU