立冬 | 宜资产盘点看指纹忌归档管理无重点

作者：数字观星日期：2019年11月11日阅：1,683

图火星 | 文玄枵

今日立冬，水始冰，地始冻，最适合手捂一杯热饮。但是你有观察过隐约印在杯壁的指纹吗？

进入正文前，我们不妨先来玩一个轻松的小游戏——找不同。

在上述图片中，你一共找到几处不同的地方？6处？7处？来看正确答案：

99% 的人一定都至少找到图片中的 6 处不同，但可能只有 1% 的人发现了藏在手指上指纹的不同。读到这里可能会有人想，“图片里指纹那么小，谁会注意到？就算注意到了，谁又能那么仔细的看出来两张图的区别？”但正是这最细微的差距，决定了1%和99%的人的区别。

什么是指纹？

指纹，也叫手印，即是表皮上突起的纹线。由于人的指纹是遗传与环境共同作用产生的，因而指纹人人皆有，却各不相同。由于指纹重复率极小，大约 150 亿分之一，故其称为“人体身份证”。人体指纹识别随着科技的发展也越来越广泛的运用在我们的日常生活之中，我们不妨来数数看：每天早上我们通过指纹识别解锁手机、去往单位的路上通过指纹付款购买豆浆和包子作为早饭、到达公司再用指纹打卡上班。仅仅一个早上，我们至少做了3次指纹识别。

在互联网数字资产管理中，数字资产指纹就是数字资产的“身份证”，也是信息系统安全管理工作的基础。通过网络资产探测（指纹）可以在0day 爆发时快速匹配到受影响的信息系统；还可以发现违规开放的资产，为安全运营管理提供便利，确保安全制度的稳健实施。指纹识别更是基线管理的基础，正如生物指纹对于生物的价值一样，数字资产指纹识别也在数字资产管理中起到了至关重要的作用。

通过下面的小故事，希望能帮助大家更清晰、直观地了解到资产指纹在数字资产管理中的价值。

西游记里，唐僧以“吃了唐僧肉就可以长生不老”闻名于世，各路妖怪均以吃到唐僧肉为毕生目标，取经路上想要吃肉的妖怪不知多少，但能成功抓到唐僧的妖怪却屈指可数。纵观西游记全文，我们会发现那些接近成功的妖精往往都利用了西游团队的弱点：唐僧的心软、猪八戒的贪吃、好色等。至于唐僧为什么总被吃不掉，可能这就是主角光环吧！对于信息安全工作来说，重要系统就是唐僧，防护措施相当于三个徒弟，想要吃唐僧肉的妖怪们就是虎视眈眈的黑客，想要吃到唐僧肉，就需要掌握到整个系统的信息——也就是指纹识别。

2017 年 WannaCry 造成了一场全球性的互联网灾难，150 多个国家和地区超过 30 万台电脑中招，损失金额高达 80 亿美元，大量政府、企业中招的同时也有大量金融机构“幸免于难”，事后我们和这些机构交流的时候发现，这些机构往往采用了三步走的方式进行应急：

排查所有开放了 SMB 的主机并快速打补丁
全网排查所有 windows 主机并打补丁
全网插件检测

Wannacry的应急实际上是一场和病毒传播的赛跑，跑赢的关键就在能不能以最快的速度发现最高危的数字资产，而这正是通过指纹识别做到的，依靠这个最不起眼也最简单的技术，这些金融机构才能够“幸免于难”。

在实际的渗透测试过程中，信息收集是非常重要的基础工作；在信息收集中，指纹识别则信息收集环节中最基础也是最重要的一步，全面、准确的信息收集可以使你在安全检测的时候更加的得心应手。如果把渗透比作探索黑暗迷宫的话，那指纹信息收集就是前期的“跑图”，它可以帮你点亮迷宫的大部分地图。

所以，不论对于攻击方还是防守方，数字资产的指纹信息的收集都是非常重要的。（PS：业内某大佬说，“黑掉全世界的第一步就是搜集指纹”。所以想成为黑客或者想要学习黑客技术的同学们，就把指纹收集当成你“伟大”壮举的第一步吧！对指纹感兴趣的同学请关注文末，有福利哦！）

网络资产指纹识别技术

目前网络资产探测以主动扫描探测和被动流量分析为主。在主、被动资产探测结果的基础上，要得到网络资产识别结果，离不开指纹特征匹配的过程，且识别结果的准确性很大程度上取决于特征匹配的准确性。

目前常规的指纹识别技术主要分为两种：一种是针对HTTP的指纹识别，通过对URL请求得到的各种响应信息进行特征匹配，从而判断指纹；另一种是针对TCP/IP协议栈的指纹识别，我们可以通过向对方发送一系列精心设计的报文，分析对方响应，从而判断指纹。

下面用一个简短的四格漫画来帮助大家理解指纹识别的过程：

希望通过这则漫画可以让你更好地理解目前指纹识别的两种常用技术，下面再给大家介绍几种常用的指纹识别方式：

网页中发现关键字：先访问首页或特定页面，通过正则的方式去匹配某些关键字
特定文件的MD5（主要是静态文件、不一定要是MD5）：通过爬取网站的特定图片文件、js文件、CSS等静态文件进行抓取并比对md5值
请求头信息的关键字匹配：根据网站response返回头信息进行关键字匹配

指定URL的关键字

基于TCP/IP请求协议识别服务指纹

常见指纹检测的对象

提升自己的同时来挣点外快吧

相信了解了什么是数字资产指纹、数字资产指纹的价值以及指纹识别技术之后，电脑前的你已经蠢蠢欲动了！在今后的日常学习、实践中你也许会测出许多新的指纹，那么恭喜你，这就表明你已经对指纹有了初步收集能力。在获得成就感的同时你还可以把发现的新指纹提交到观星的指纹收集平台，通过指纹收集赚取外快！这样是不是一举两得了呢？

数字观星指纹收集平台：是面向大众收集指纹特征的平台，用户可以在平台提交你已经整理好的指纹识别规则，如果通过审核，将会有星豆奖励（可以兑换现金奖励）。同时，此平台也是一个分享平台，你可以在此查询网站的指纹。平台地址：http://poc.shuziguanxing.com/ (请使用 Chrome 或 Firefox 访问本平台)

作为另一个福利，在此推送给大家几个指纹编写样例，让大家更规范的去编写、测试指纹信息：

指纹样例：

“阿里CDN”:{
            “cats”:[
                31
            ],
            “headers”:{
                “Ali-Swift-Global-Savetime”:””,
                “X-Swift-CacheTime”:””,
                “X-Swift-SaveTime”:””
            },
            “website”:”https://www.aliyun.com/”
        }

描述：阿里CDN组件，分类31（CDN），匹配Hearder中是否存在Ali-Swift-Global-Savetime或者X-Swift-CacheTime或者X-Swift-SaveTime特征。