信息收集篇

1、确认资产范围

基本上所有可收集的内容只要证明是对应所属资产，都可以尝试并提交，因为众测没有核心和边缘资产之分，都能有不错的奖金。

有分核心、边缘之分，所以确认哪些是核心哪些是边缘，哪些不在可奖励范围内是很重要的，一般都会在src官网说明哪些是核心哪些是边缘，与渗透测试不同，挖掘src不怎么需要去特别关注C段资产和过于边缘的资产，因为挖掘这些内容奖金少，或者根本没有

官网有可能展示出了很多可挖掘的资产，且大部分属于核心或者比较重要的资产

可以查询到企业的很多信息，例如旗下的app、新媒体、网站等等，有比较小的可能性收录出错，收录到不属于对应公司的资产，但收录的范围和详细度都很好，推荐使用

类似的还有企查查之类

fofa是个利器，配合一些好的语法可以收集到非常多资产

例如：cert=”mi”&&country=”CN”

资产和fofa相比可能会多一点，但积分制很头疼，无法共享什么的，语法还是那么用就好

这些平台不多做评价捏，可以都用起来再用python写个脚本去重一下以扩大资产范围

文章版权归作者所有，未经允许请勿转载。

THE END