主要观点总结
本文介绍了研究团队关于测绘引擎的研究,这些引擎能够搜索世界上所有公网IP,提供关键安全信息。文章详细描述了测绘引擎的功能、行为以及获取的信息类型,包括如何避免被扫描的建议。同时,也指出了测绘引擎在信息收集过程中的伦理道德问题,呼吁厂商加强审查并减少对网民的危害。
关键观点总结
关键观点1: 测绘引擎的功能和行为
测绘引擎能够搜索世界上所有公网IP,提供关键安全信息,如IP、域名、开放端口、应用/组件、影响漏洞等。研究团队通过调研发现一些测绘引擎会过度获取服务信息,甚至利用漏洞访问服务。
关键观点2: 测绘引擎获取的信息类型
测绘引擎获取的信息包括ZooKeeper的系统信息、ElasticSearch的数据表、MongoDB的数据库、FTP的文件列表、OpenWrt路由器的配置、家用摄像头的照片等。
关键观点3: 如何避免被测绘引擎扫描
研究团队提供了关于如何避免被测绘引擎扫描的建议,包括设置防火墙规则、更改服务端口号、使用可疑IP报告平台等。但指出这些方法并不完全有效,因为测绘引擎会使用多种策略来探测和获取信息。
关键观点4: 测绘引擎的伦理道德问题
研究团队呼吁测绘引擎厂商加强对其扫描和披露行为的伦理道德审查,减少对网民的危害。提出测绘引擎应提高透明度,注意使用最小化的探针,防止敏感信息泄露。
关键观点5: 研究团队介绍
介绍了研究团队的主要成员及其研究成果,包括在互联网测量和网络黑产研究方向的论文发表和实际应用情况。
文章预览
测绘引擎 一种神奇的可以搜索世界上拥有所有公网IP的服务的搜索引擎 提供IP、域名、开放端口、应用/组件、影响漏洞等关键安全信息 在测绘引擎的军备竞赛中 向平台用户展示更多更全的设备信息是终极目标 对于安全人员来说 能够提高信息收集的效率 找到互联网背后的脆弱面 然而对于服务的拥有者来说...... 谁把我家照片晒网上了?! 某测绘引擎平台中展示的一个西班牙的厨房的摄像头 (选用九年前照片以减少伦理影响) 测绘引擎如何获取你家设备的信息? 测绘引擎为了找到你家漏洞都干了什么? 测绘引擎都在网站上放了你家的什么信息? 请收看新一期的 走进科学 白泽成果分享 本文系复旦大学系统软件与安全实验室网络犯罪研究小组研究成果,相关内容 发表于网络安全领域国际顶级会议NDSS 2025 ,论文标题《Revealing the Black Box of Device Sea
………………………………
