独家专访SPYSE团队 | 网络罪恶与安全
内容目录
- 什么是CertDB?谁是CertDB的支柱?
- 你们有活跃的市场竞争吗?你们的独特卖点是什么?
- 与crt.sh或Censys(censys.io)相比如何?
- 你们提到扫描和传感器。如何对网站进行分类或筛选?
- 计划多久扫描一次网站?有扫描的优先级标准吗?
- 从安全角度,你们过去进行过安全测试或评估吗?或计划这样做?
- 计划保持服务免费,还是未来推出基于订阅或定价模式以提供更好的搜索、过滤器等功能?
采访正文
我认为你们很多人之前没听说过SPYSE(我在这次采访之前也没听说过),但让我告诉你们——他们是一群了不起的人,优秀的开发者,相信我,他们通过出色的工具和项目为信息安全社区做出了巨大贡献。我在查看certdb和findsubdomains项目时产生了兴趣并听说了他们——卓越的网站,强烈推荐一看!我为他们的项目撰写了评论——CertDB是一个免费的SSL搜索引擎,以及用于开源情报的子域名查找,并给予了高度评价。所以,在最近几天,我有机会就他们的项目CertDB以及他们正在进行的努力向他们提问,与大家分享。
什么是CertDB?谁是CertDB的支柱?
我们是SPYSE团队,网络分析和数字安全领域的熟练专家。2017年,我们组建了一个团队,自愿开发非营利工具和服务,用于探索和分析互联网上可用的通用数据。
CertDB.com——一个用于研究和分析数字证书的互联网范围搜索引擎。这是SPYSE团队在2017年聚集后的第一个项目,旨在为教育、研究和实践目的打造一个跨越整个互联网基础设施的搜索引擎,它结合了Censys、Shodan、Domaintools等服务的核心功能,并在数据完整性和分析能力方面显著超越它们。我们的产品组合目前除了Certdb外,还包括设计用于自动化子域名发现的FindSubdomains.com。目前我们正在开发另一个与DNS相关的项目。我们计划每月发布一个项目。
该项目的使命在于消除普遍认为SSL证书只是一小部分数据文件的观念,这些文件数字上将加密密钥与企业详细信息绑定。相反,CertDB的创建者旨在改变普通互联网用户周围事物的本质。
未来项目包括用于域/子域分析、IP范围、DNS地址以及组织与其数字资产之间连接的分析工具。我们相信我们的团队相当强大,并计划每月发布一个项目。大约4个月内,我们打算将这些服务分组,创建一个涵盖所有这些领域的搜索引擎。我们打造一个跨越整个互联网基础设施的搜索引擎,它结合了Censys、Shodan、Domaintools等服务的核心功能,并在数据完整性和分析能力方面显著超越它们。该工具将拥有比网络上任何现有资源更完整的数据池。
可用查询示例:https://certdb.com/about 和CertDB用例:
- 新颁发的证书可以帮助比任何新闻稿更快地识别新服务的启动、组织之间的合并和其他市场活动。
- 跟踪SSL证书过期时间至关重要。一旦SSL证书过期,可能对网站和最终用户都意味着不愉快的后果。这些可能包括信任丧失、由于废弃购物车导致的利润下降、组织形象和声誉的损害、隐私风险。
- CertDB不仅对IT领域的专业人士有用。探索SSL证书可以分析不仅单个组织而且整个行业或市场的业务活动,并识别趋势。
- 焦点公司可能在拥有其他公司域名的组织中颁发证书,这可能意味着一家公司与另一家的合作或收购。此类信息可能作为洞察信息产生利润,甚至可能导致调查的开始(如果有不公平商业实践的迹象)。
- 专注于安全漏洞的公司可能使用CertDB研究有问题的证书,以最终削弱黑客攻击的可能性。
- 商业SSL销售公司可能通过“警告”受影响的子域和域的公司来增加销售。
- 公司可能注册暗示即将开始首次代币发行的域名。这一有希望的证据可以帮助竞争分析或业务分析等。此外,它使数据所有者有能力为潜在投资筹集资金。
- 在Palo Alto注册一个新的未知域名可能暗示一家新初创公司;从“通配符”证书切换到“Let’s Encrypt”告诉我们组织的预算限制。
- 基于颁发给特定国家域名的SSL证书数量,以及人均证书数量,可以衡量不同国家IT基础设施的成熟度。
- 我们刚刚开始我们的旅程,非常感激任何帮助或协助——建设性反馈、建议、提及、覆盖选项和联系。
你们有活跃的市场竞争吗?你们的独特卖点是什么?
CertDB的关键卖点:
- 完全免费;我们作为志愿者为教育研究目的开发这些项目,所以它们将永远免费;
- 它是互联网上最完整的证书库;
- 它是最准确和每天更新的,扫描整个互联网;
- CertDB拥有最好的UI,因为我们不仅关心数据,也关心用户体验。
- 我们24/7分析网络,为您提供互联网上SSL证书最完整和最新的信息。
- CertDB提供对其强大API的免费访问。您可以将API用于实际研究或教育目的,或用于其他程序和服务的实现。
- 我们的服务提供按多个标准的搜索能力,质量过滤。我们还按各种标准聚合数据,这使得可以在更大范围内看到情况。
- 我们非常关注UX/UI、页面加载速度和其他细节,我们的项目以用户为导向。我们的开发者不断研究行为因素和用户反馈,以使项目更好。
与crt.sh或Censys(censys.io)相比如何?
我们在证书上的工作,乍一看,与censys.io非常相似。我们从开发者和专家的相同问题出发,因此我们的搜索机制有许多重合之处。同时,应该指出,我们在很大程度上力求使项目能够被非专业人士使用,并获取有价值的信息。我们理解这是一个复杂而漫长的过程,但我们深承诺打造并向市场展示一个不是为极客,而是为广泛受众的产品。
你们提到扫描和传感器。如何对网站进行分类或筛选?
事实上,我们的团队当然不仅处理数字证书。目前,我们正通过各种不同的技术探索整个IPv4范围的网络部分。研究起点的数据大部分来自公共来源,一些是我们自己发现的,一些是从合作伙伴那里获得的。SUBMISSION表单对我们来说似乎不切实际,因为几乎没有任何我们不知道的域。
计划多久扫描一次网站?有扫描的优先级标准吗?
在不久的将来,我们正在准备基础设施,用于定期和系统性地扫描互联网上所有已知点,根据我们的计划,不超过一个月,我们将能够为每个在过去6个月内显示任何生命迹象的点更新信息,至少每两周一次,实际上,根据我们的预期,更频繁。
从安全角度,你们过去进行过安全测试或评估吗?或计划这样做?
SPYSE团队的主要部分在IT安全领域工作。项目想法最初源于我们的日常需求。我们为许多公司(在NDA下)做过并做测试,我们拥有相当多的知识。然而,我们将当前的服务与我们的工作分开,我们针对更广泛的受众,用于教育目的,给感兴趣的人更多研究互联网的机会,研究人员免费探索和分析它。
如果我们谈论我们项目的安全性,那么我们努力使其正确,尽管我们没有单独关注安全问题——我们没有什么可偷的。
计划保持服务免费,还是未来推出基于订阅或定价模式以提供更好的搜索、过滤器等功能?
我们计划保持我们的服务完全免费。我们想相信我们当前的事务对人们有用。这最激励我们。我们真的想传播关于我们免费服务的消息,并使普通用户可以访问它们。希望本文的读者可以在这方面支持我们。
继续努力,伙计们,我们对你们的新项目感到兴奋。
封面图片:Jonathan Velasquez
产品采访
« 上一篇:OSINT:查找子域名
下一篇 »:咨询角色中的红队专家
© 2025 网络罪恶。
向Astrid致敬以表支持。感谢Vimux提供Mainroad基础主题和Turtle Media提供徽标。用💛和Hugo制作。