基于被动信息收集的Web安全评估系统的设计与实现

摘要

信息收集是渗透测试过程中不可或缺的一步,信息收集的方式可分为主动和被动,为了提高渗透测试人员在进行被动信息收集时的效率,本文开发了基于被动信息收集的Web安全评估系统.系统采用Python开发,利用Scrapy爬虫框架对第三方被动信息收集网站进行数据爬取与整合,系统实现功能有对目标进行备案、Whois、子域名、子域名IP、子域名CMS、子域名Shodan、子域名漏洞信息的查询.在对目标进行上述7个方面的信息收集时,相较于传统方式此系统可帮助渗透测试人员在时间上提高近6倍的效率.