微信公众号-获取&三方服务
- 获取微信公众号搜狗搜索
- 查询微信公众号有无第三方服务
有些是微信公众号个人企业,看看是否用的腾讯的网站功能接口,还是用的自己的网站
Github监控-开发&配置&源码
目标中开发人员或者托管公司上传的项目存在源码泄漏或配置信息(密码密匙等),人员数据库等敏感信息,找到多个脆弱点
人员&域名&邮箱等筛选语法网站
eg:xxx.cn password in:file
GITHUB资源搜索语法:
| 查询类型 | 示例 |
|---|---|
| 仓库标题搜索含有关键字 | in:name test |
| 仓库描述搜索含有关键字 | in:description test |
| Readme文件搜索含有关键字 | in:readme test |
| stars数量大于3000的搜索关键字 | stars:>3000 test |
| stars数量在1000到3000的搜索关键字 | stars:1000..3000 test |
| forks数量大于1000的搜索关键字 | forks:>1000 test |
| forks数量在1000到3000的搜索关键字 | forks:1000..3000 test |
| 仓库大小大于5000k的搜索关键字 | size:>=5000 test |
| 发布时间大于2019-02-12的搜索关键字 | pushed:>2019-02-12 test |
| 创建时间大于2019-02-12的搜索关键字 | created:>2019-02-12 test |
| 用户名搜索 | user:test |
| 指定LICENSE搜索关键字 | license:apache-2.0 test |
| 在特定语言的代码中搜索关键字 | language:java test |
| 组合搜索 | user:test in:name test |
GITHUB关键字配合谷歌搜索:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
GITHUB语法固定长期后续监控新泄露
基于关键字监控
基于项目规则监控
网盘资源搜索-全局文件机密
主要就是查看网盘中是否存有目标的敏感文件
如:企业招标,人员信息,业务产品,应用源码等
网络空间进阶-证书&图标&邮箱
证书资产搜索,进阶
fofa quake hunter
ICO资产搜索,进阶
fofa quake hunter
下载目标图标,再在网络空间搜索,获得资源
邮箱资产搜索,进阶
搜索xxx.edu.cn来获得大量邮箱,然后通过邮箱信息进行爆破