探索网络安全的利器:theHarvester

项目概述

theHarvester 是一个功能强大且易于使用的工具,专为红队评估或渗透测试的侦察阶段而设计。它通过开放源智能(OSINT)收集,帮助用户评估某个域的外部威胁环境。该工具可以从多个公共资源中收集名称、电子邮件、IP地址、子域名和URLs,非常适合信息安全专业人士在进行安全评估和渗透测试时使用。

安装与依赖

  1. 系统要求:需要安装 Python 3.12 或更高版本。

  2. 安装步骤

    • 安装 uv:

      bash 复制代码
      curl -LsSf https://astral.sh/uv/install.sh | sh
    • 克隆代码库:

      bash 复制代码
      git clone https://github.com/laramies/theHarvester
      cd theHarvester
    • 安装依赖并创建虚拟环境:

      bash 复制代码
      uv sync
    • 运行 theHarvester:

      bash 复制代码
      uv run theHarvester
  3. 开发环境:如果需要安装开发依赖,执行以下命令:

    bash 复制代码
    uv sync --extra dev

    运行测试:

    bash 复制代码
    uv run pytest

    进行代码 linting 和格式化:

    bash 复制代码
    uv run ruff check
    uv run ruff format

Passive Modules(被动模块)

theHarvester 提供了多种被动模块,通过这些模块可以收集与域名相关的信息:

通过 API Key 进行的模块

某些模块需要设置 API Key,相关文档可以在 这里 找到。

  • BeVigil: 50条免费查询/月,$50可查询1000条。
  • Brave: 提供免费和专业计划。
  • BufferOverun: 每月100条免费查询,$25提供每月10,000条。
  • BuiltWith: 50条免费查询,$2950/年。
  • Censys: 500个凭证$100。
  • Criminalip: 100条免费查询/月,700,000条每月$59。
  • Dehashed: 500个凭证是15,5000个凭证是150。
  • Dnsdumpster: 每日50条免费查询,$49/月。
  • Fullhunt: 50条免费查询,$29/月提供200条查询。
  • Haveibeenpwned: 每分钟10个电子邮件查询4.50,50个查询每分钟22。
  • Hunter: 每月50个免费查询,$34可获取每年12,000个查询。
  • Onyphe: 10M结果/月,$587。
  • Pentesttools: 每月$95可提供5个资产的网络安全服务。
  • SecurityTrails: 每月50条免费查询,$500可获取20,000条查询。
  • Shodan : 每月 69 用 于 自 由 职 业 者 , 小 型 企 业 359 69用于自由职业者,小型企业359 69用于自由职业者,小型企业359/月。
  • Tomba: 每月25个问题免费,$39可获得每月1000个问题。
  • Venacus: 每日1个查询免费,$12可获得每日10个查询。
  • Whoisxml: 50可获得2000个查询,105可获取5000个查询。

总结与同类项目对比

theHarvester 是一个非常强大的 OSINT 工具,适用于安全评估和渗透测试中对外部威胁的识别。其通过多种模块的灵活使用,帮助安全研究人员获取与目标域相关的大量信息。

同类开放源代码项目如 MaltegoRecon-ng,尽管也提供了信息收集和分析的功能,但 theHarvester 更加专注于收集特定类型的OSINT信息,如电子邮件和子域名,使用也相对 simpler,更适合快速部署和使用。

通过比较,theHarvester 拥有以下特点:

  • 更加简单的安装和配置过程。
  • 针对外部威胁情景提供的高度专注的信息收集功能。
  • 多种公共资源的集成,帮助用户获取可靠的信息。

通过这些优势,theHarvester 成为信息安全专业人士和渗透测试人员的非凡选择,适合在复杂的安全环境中工作。

相关推荐
m0_738120725 小时前
CTFshow系列——PHP特性Web97-100
开发语言·安全·web安全·php·ctfshow
Suckerbin6 小时前
Basic Pentesting: 1靶场渗透
笔记·安全·web安全·网络安全
rockmelodies8 小时前
Java安全体系深度研究:技术演进与攻防实践
java·开发语言·安全
深鱼~8 小时前
MAZANOKE与cpolar:打造安全可控的照片云端管理系统
安全
CookieCrusher11 小时前
数据泄露危机逼近:五款电脑加密软件为企业筑起安全防线
运维·数据库·windows·安全·文件加密·数据防泄漏·dlp
小楓120118 小时前
Web漏洞挖掘篇(二)—信息收集
web安全·网络安全·漏洞挖掘
烟雨书信19 小时前
安全运维和系统安全
运维·安全
深盾科技20 小时前
鸿蒙ABC开发中的名称混淆与反射处理策略:安全与效率的平衡
安全·华为·harmonyos
Zero_Era1 天前
LKT4202UGM重新定义物联网设备安全标准
物联网·安全·嵌入式