SpiderFoot 自动化 OSINT 技术,用于威胁情报与攻击面测绘
SpiderFoot 是一款基于 Python 3 的开源情报(OSINT)自动化工具,专注于威胁情报与攻击面测绘。它集成了超过 200 个数据源模块,能够自动收集域名、IP、电子邮件等目标信息,并通过内置的关联分析引擎(含 37 条预定义规则)识别潜在安全风险。工具提供 Web 界面和命令行两种操作方式,支持 CSV/JSON 等多种导出格式,并内置 SQLite 数据库便于自定义查询。可集成 TOR 进行暗网搜索,也能调用 DNSTwist、Nmap 等第三方工具。适用于渗透测试、安全评估、攻击面监控等场景,帮助安全团队快速发现外部暴露资产和威胁情报线索。
💡 应用场景
SpiderFoot最适合需要自动化、多维度收集公开情报的安全从业者,无论是渗透测试、攻击面管理还是威胁分析,都能一键聚合200+数据源并生成可操作报告。
渗透测试信息收集
问题:在红队演练或渗透测试中,需要快速收集目标域名、子域名、邮箱、IP等公开信息,但手动查找效率低且容易遗漏。
方案:使用SpiderFoot扫描目标域名,自动调用200+模块(如DNS查询、Whois、搜索引擎爬取)提取子域名、邮箱、IP地址等,并生成结构化报告。
示例:输入目标域名example.com,SpiderFoot自动发现其子域名、关联邮箱、DNS记录,并检测是否存在子域名劫持风险。
企业攻击面监控
问题:安全团队需要持续监控企业对外暴露的资产(如S3存储桶、未授权服务),但人工巡检无法覆盖所有变化。
方案:配置SpiderFoot定期扫描企业公网IP段或域名,利用模块检测开放的S3/Azure存储桶、暴露的API接口,并通过关联规则自动告警。
示例:扫描公司ASN关联的IP段,发现一个未配置权限的S3存储桶,SpiderFoot自动提取桶内文件列表并标记为高风险。
社工钓鱼前期侦察
问题:在社工攻击测试中,需要收集目标人员邮箱、社交媒体账号、泄露密码等信息,但手动搜索耗时且分散。
方案:输入目标邮箱或用户名,SpiderFoot自动查询HaveIBeenPwned、社交平台、Pastebin等数据源,汇总泄露记录和关联账号。
示例:输入目标邮箱[email protected],SpiderFoot返回其在LinkedIn、Twitter上的关联账号,以及历史泄露的密码哈希。
威胁情报关联分析
问题:安全分析师收到一个可疑IP或域名,需要快速判断其是否与已知恶意活动相关,但需查询多个威胁情报平台。
方案:将可疑IP输入SpiderFoot,自动调用Shodan、GreyNoise、AlienVault等API,获取该IP的开放端口、恶意标签和关联域名。
示例:扫描IP 1.2.3.4,SpiderFoot发现其在Shodan上开放了SSH服务,并在GreyNoise中被标记为扫描器,同时关联到多个恶意域名。
📊 项目信息
- 语言
- Python
- Stars
- ⭐ 19,507
- Forks
- 3,194
- 今日新增
- +98
- 排名
- #8
- 收录
- 语言榜
- 趋势日期
- 2026年7月12日
- 最后推送
- 2026/4/13