基本问题
什么是FOFA?
FOFA-网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储,分析整理不同种类的网络空间资产指纹信息(规则),并对符合规则的资产进行统计分析,进而快速检索全球网络空间资产的产品。
它能够帮助用户迅速进行网络资产匹配,快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。
会员问题
作为FOFA的订阅会员,你将在订阅期间每月获得大量的免费额度,同时享受稳定且丰富的API接口。
目前,FOFA的订阅会员分为个人版、专业版和商业版,您可以选择按月或按年购买,并且年付会员还能享受独家折扣。 点击这里获取更多详情。
除了线上直接付款外,支持对公转账。如果需要对公转账请通过邮件、微信或电话联系我们的官方人员进行操作。
购买后可以在个人中心自主开取发票。
什么是F点?
F点是FOFA推出的一种虚拟点数,每1F点等同于1条数据,主要用于下载数据。当会员的权益额度消耗完毕后,可以使用F点进行补充。此外,如果你希望试用非当前会员级别的特性,也可以通过消耗F点来实现。
F点更多适用于单次需要导出大量数据和产品试用的环境,否则更推荐您购买订阅会员。
购买后可以在个人中心自主开取发票。
什么时候能用到FOFA?
外部攻击面管理(EASM): 搜索和识别企业的公开可见资产、分析和评估资产的安全风险、挖掘资产之间的关联关系、辅助漏洞管理和应急响应。
资产梳理: 资产发现与识别、资产分类与归类、资产关联与依赖分析、资产安全评估与风险管理。
违法/恶意网站打击: 干扰数据识别、恶意网站关联识别、威胁情报分析等。
安全态势感知: 实时资产监测、漏洞和威胁监测、安全事件响应。
FOFA具备哪些优势?
FOFA采用自主研发的高效能分布式架构,以及庞大的元数据积累,目前可查询的总资产量超过100亿,且月更新资产数量大于10亿、并支持超过1300个协议的探测和识别。
FOFA的资产规则指纹库经过多年的维护,目前拥有超过35万个规则指纹,包括13个大类和150个子类,涵盖了广泛的领域和行业。
FOFA拥有自主知识产权的Feature引擎,这种引擎算法可以对拥有相似特征的网站进行聚合,可以解决未知资产发现、自动聚类网站等需求。
新手教程
初次了解FOFA
如果您是新加入网络安全行业的新人,第一次接触到FOFA,我们推荐您阅读我们的入门文章《FOFA入门指南:轻松掌握搜索技巧和特色功能》,方便您进行了解。
查询语法
我们将语法类型分为了基础类、标记类、协议类、网站类、证书类、时间类、地理位置及独立IP语法这几个大类。
可以在首页的"查询语法"按钮中看到详细的语法解析。
FOFA的规则怎么用?
我们针对于这些资产的多个关键特征进行组合和整理,形成了一个个规则指纹集。
通俗来讲,我们对很多数据做了导航页,或者可以理解为书本的目录。可以帮助用户更快速、准确地找到所需的信息。
规则的使用方法包括:
- 直接在搜索框输入关键词,通过关联规则推荐查看;
- 直接搜索关键词,如果存在关联规则则会在搜索结果页下框展示;
- 在规则列表页进行查看。
API的使用
FOFA目前开放的API接口包括基础查询接口、连续翻页查询接口、统计聚合接口、HOST聚合接口及账号信息接口5种API调用接口,最大程度上的满足了用户通过API调取数据和二次开发需求。
详情可前往API文档进行查看。
模糊搜索是什么?
模糊搜索是一种搜索技巧,用于在数据集中查找与查询词或关键字相似的结果。
在FOFA上,模糊搜索是通过在*=后面添加通配符 * 或 ? 来实现的,但*=并不是通配符,仅仅是用来表示使用模糊搜索功能的符号。同时,通配符*和?代表着不同的意思:
*表示匹配的数量不受限制,可以用来代替 0 个、1 个或多个字符;
? 仅仅可替代 1 个字符。
注意:支持模糊搜索的语法已在查询语法参考中标明,可以进行查看。了解更多关于模糊搜索的介绍可以查看文章《FOFA模糊搜索的正确姿势》。
开放实验室是什么?
开放实验室是FOFA进行数据探索的前站,您可以在个人中心页面看到。目前开放实验室开放的功能包括:
云资产原始IP查询:查找CDN或云WAF的原始IP,如:Clouddlare、StackPath等。
攻击面梳理:一种可视化、简单化进行供给面梳理的模式,详情文章可查看《以上帝视角进行资产梳理》
智能数据驿站:一款智能的数据驿站,FofaHub提供了全面的数据集成、处理和可视化功能,为您提供一站式的数据服务,可以轻松整合、分析和应用数据,从而更高效地进行业务决策。详情文章可查看《探索网络世界的利器(认知篇)》
icon_hash图标语法怎么使用?
使用方法①:已有icon文件时,通过在首页搜索框内上传图标文件进行搜索;
使用方法②:已知icon_hash时直接使用icon_hash=””语法搜索;
使用方法③:搜索结果页会展示当前结果的图标聚合,单条数据如果存在图标,也会进行展示,点击即可搜索。
数据奖励计划是什么?
数据奖励计划是FOFA推出的一项特殊服务,当查询的数据在FOFA未找到时,可以通过该功能对数据以IP+PORT的格式进行提交,FOFA会快速对数据进行收录,同时收录成功后会向您发放F点。更多细节可参考《官方教你如何白嫖F点》
为什么有些资产显示被屏蔽?
根据国家相关法律法规,目前只有监管认证可以看到此类违法数据,公安版目前是叫做FO-OCTRA。
了解更多信息可以查看文章。《通知 | FOFA-G正式升级为FO-OCTRA!》
我在哪里可以看到关于FOFA的技术文章呢?
您可以关注我们的官方微信号,查看最新的FOFA技术文章分享。
近期技术文章分享:
HostingHunter系列:CHANG WAY 云服务商深度分析
使用问题
同IP数据重复
FOFA的资产是以IP和端口为单位,不是以IP为单位。所以存在同IP不同端口的数据。
同IP同端口数据重复
端口数据分协议数据和网站数据,可以通过语法进行区分。
因为一个IP上会绑定多个host(主机名),并且每个host的内容不会完全一致。在基于协议返回信息时的不同进行区分。
| 数据分类 | 区别 |
|---|---|
| 协议数据 type=“service” | 所有协议称之为服务,http/https协议不包含html源代码 |
| 网站数据 type=“subdomain” | http/https抓包,包含html源代码且解析了其他字段 |
我只想要中国大陆地区的资产,该怎么排除?
只需要中国大陆数据需要排除港澳台地区的资产,您需要在您的搜索语句后拼接下面的语法即可。
&& country="CN" && region!="HK" && region!="MO" && region!="TW"
是否可以识别组件的版本?
公网暴露的信息中若存在版本特征,则可识别。
我如果想要排除一些特征该怎么搜索?
如排除80端口,语法为port!=“80”,具体支持排除特征的语法可参考查询语法列表。
双引号搜索不到结果?
请使用英文引号。
FOFA上面的时间是什么时间?
FOFA上面所标记的时间是FOFA自身最后一次更新该资产的时间,每次扫描平台会覆盖掉该资产的历史数据,如果最后更新时间长时间没有变化,则大概率代表该资产已关闭。
IP可以搜索到,Body中的内容搜索不到?
英文中的. :// _等未做分词,搜索整体才能搜到,搜索一部分搜不到。
使用=和==的区别是什么?
单等号=搜索为包含关系,双等号==搜索为绝对相同关系。
如何查看自身剩余的查询数据量?
在个人中心左侧下方的会员权益处进行查看。
我的个人中心-下载记录为什么没有下载地址?
根据当前的会员身份限制,最长下载地址保存时间为30天,请尽快下载您的结果。
其他问题
如何开取发票?
FOFA支持自动开取发票,用户在下单购买会员、激活码或F点后,在个人中心进行操作。
个人中心→财务中心→交易记录→充值记录,选择需要开发票的订单,点击“开发票”按钮。
可开发票类型:
| 开票类型 | 送达方式 | 填写信息 | 开票周期 |
|---|---|---|---|
| 增值税普通发票 | 邮件送达 | 公司名称、税号 | 5个工作日 |
| 增值税专用发票 | 邮件送达 | 公司名称、税号 | 5个工作日 |
一般财务开票日为工作日的每周三进行出票。默认开取技术服务费,如果有其他需求请备注。
如何获得1对1技术支持?
通过邮件、微信或电话联系我们的官方人员。
如何修改邮箱?
邮箱是登录FOFA的唯一标识,不能更改。
如果我的设备不希望被fofa收录,我应该如何操作?
不要将设备放在外网。
访问“403forbidden”?
请求太频繁或次数太多,IP被永久封禁。微信联系FofaBot解禁。
为什么我访问FOFA显示network error?
一般这种情况是因为您开了浏览器插件导致的越权,请您关闭插件或使用无痕模式访问。
为什么翻页就报500错误?
一般这种情况是因为您开了扫描器或者扫描插件对FOFA进行恶意请求被防火墙拦截,请您关闭您的扫描器即可正常使用。
什么情况下FOFA账号会被永久封禁?
根据《FOFA用户服务协议》,FOFA账号不支持多人共享使用,如果您的账号多人共享或非法授权则将会被永久封禁。
更新日志
2025.2.20 功能更新:
新增语法:banner_hash
2025.2.14 功能更新:
FOFA API支持json格式化展示,通过r_type=json可进行展示。
京公网安备11010102005893号
