使用方式
关于
全面的 OSINT 方法论,用于外部红队行动和授权攻击面评估。涵盖 5 阶段侦察管道、资产图纪律、严重性评分、置信度升级工作流、时间预算和身份映射。
OSINT 方法论 — 外部红队版
0. 何时使用 / 何时不使用
使用此技能当: 规划或执行授权的外部侦察(红队、漏洞赏金、攻击面管理);映射组织的攻击面;调查人员/实体/威胁行为者;生成客户交付物。
不要使用此技能当: 用户需要主动利用、后渗透或恶意软件开发;蓝队/检测内容;或目标的授权不明确 — 首先提出范围问题。
1. 授权与法律姿态
适用于操作者拥有或具有书面授权评估的资产。
软范围检查 — 当授权未建立时,询问一次:
"快速范围检查:这是你拥有或有书面授权评估的目标吗?我想确保我们保持在参与边界的正确一侧。"
一旦确认,不再重复询问。如果参与类型已声明("合同下对 acme.com 的渗透测试"),则继续进行。
始终启用的防护措施:
- 永远不要削弱目标端的认证、速率限制或安全控制。
- 在明确的
--aggressive模式之外不进行破坏性探测(线速 SYN 扫描、masscan、模糊测试)。 - 永远不要将真实 PII、凭据、会话令牌或 API 密钥粘贴到云托管的 LLM 中。
- 永远不要对文档范围之外的资产采取行动,即使是"明显相关"的资产。
2. 置信度级别
每个断言都带有置信度级别。
| 级别 | 含义 | |---|---| | 暂定 | 来自间接证据的合理推测;未验证。仅片段匹配的 dork 结果、从名称推断的电子邮件模式、单一被动源子域名。 | | 确定 | 直接观察到,未经证实。子域名解析;Shodan 横幅返回;CT 日志条目。 | | 已确认 | 多个独立来源证实或直接验证。实时验证的令牌;可列出的存储桶;三源子域名收敛。 |
归因三规则: 3 个独立的弱信号,或 1 个强信号 + 1 个弱信号。永远不要单源归因。
2.1 置信度升级工作流
| 资产类型 | 暂定 → 确定 | 确定 → 已确认 | |---|---|---| | 子域名 | ≥2 个被动源或 DNS 解析 | 在标准端口上提供服务且返回横幅/证书 | | IP | ≥2 个来源(被动 DNS、ASN、Shodan) | TCP SYN-ACK 或 ICMP 回复 | | Web 应用 | URL 已提取但尚未访问 | HTTP 返回 2xx/3xx/4xx 且 content-length > 0 | | 电子邮件 | 名称模式推断或仅片段匹配 | 在 Hunter/IntelX/泄露中列出,或 SMTP 250(在 DATA 处中止) | | 存储桶 | 排列候选 + HEAD 返回 200/301/403(存在) | GET 列表 = 已确认 | | 凭据/密钥 | 捕获文本中的正则匹配 | 只读验证器返回成功(范围 + 账户 ID 已记录) | | 人员 | 来自单一来源的名称 | 由第二个独立来源确认 | | SSO 租户 | OIDC 发现端点返回元数据 | 提取租户 GUID 且域名通过 MX/autodiscover/SP 记录关联回来 |
默认报告姿态:没有明确证实不声称已确认。有疑问时,降级。
3. 输出格式
每个发现使用此模式(可直接导入资产管理工具):
Finding:
id: <稳定哈希或 UUID>
module: <发现它的技术>
asset_key: <类型化键,例如 sub:api.example.com>
category: <例如 SECRET_LEAK, OPEN_GRAPHQL_API, SSO_EXPOSURE>
severity: <info|low|medium|high|critical>
confidence: <tentative|firm|confirmed>
title: <一行摘要>
description: <2-5 句描述>
evidence:
url: <发现位置>
timestamp: <UTC ISO8601>
sha256: <任何下载工件的哈希>
raw: <截断至 2 KiB>
references: [<CVE-ID, 公告 URL, 供应商文档>]
remediation: <资产所有者可采取的行动>
始终使用 UTC 时间戳。
4. 来源卫生与引用
对于每个工件:URL + UTC 时间戳 + SHA-256 + 工具版本 + run_id。
- 使用 SHA-256 对所有下载进行哈希。截图使用 PNG。
- 原始 HTTP 捕获正文上限为 2 KiB。JSONL 日志,每行一个事件。
- 将证据只读副本与工作副本分开;永远不要编辑捕获的工件。
- 优先使用持久引用(CVE、ATT&CK 技术 ID、RFC)。如果是临时性的,先存档(archive.today、Wayback SavePageNow)。
5. 禁止事项
- 不要将凭据、会话令牌、真实 PII 或唯一枢纽粘贴到云 LLM 中。对敏感分析使用本地模型。
- 不要假设供应商标签是基本事实(TRM、Chainalysis、Arkham 可能不一致)。
- 不要从单一信号断言所有权(favicon 哈希、共享 NS、共享 CT 颁发者 — 每个都是假设)。
- 不要在明确的
--aggressive模式之外运行模糊测试、SYN 扫描、masscan 或nuclei fuzzing/*。 - 不要将凭据验证器用于只读验证以外的任何用途。
- 不要镜像威胁行为者。将能力与意图和赞助分开。
- 遇到主动防御时不要升级 — 后退并记录(§6.4)。
6. 操作安全
6.1 马甲账号
建立发帖历史,使用与真实身份无关的独立基础设施。
