Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • استفاده کردن از Favicon در فرایند تیم قرمز/آبی
  • Osint
  • اخبار
  • امنیت وب
  • باگ بانتی
  • تیم آبی
  • تیم قرمز
  • مقالات

استفاده کردن از Favicon در فرایند تیم قرمز/آبی

On بهمن 12, 1402تیر 30, 1403
seyyid
Share
زمان مطالعه: 6 دقیقه

احتمالا در وبگردی هاتون ، متوجه آیکونی در کنار عنوان سایتها شدید. به این آیکون، Favicon ، آیکون میانبر، آیکون وب سایت، آیکون تب یا آیکون بوکمارک میگن. از این آیکون برای مشخص کردن یه صفحه یا سایت استفاده میشه. مثلا یه شرکت میتونه از لوگوش استفاده کنه تا نشون بده که سایت رسمیش هست یا ممکنه در صفحات مختلف از آیکون های مختلف استفاده بشه، تا کاربر راحتتر در بخش تب ها، بتونه صفحه ی مورد نظر رو پیدا کنه.

 

نمونه Favicon

 

طراح سایتها میتونن بسته به نیازشون از چندین Favicon استفاده کنن و مرورگرهایی که از این ویژگی پشتیبانی میکنن، میتونن اونو در کنار عنوان سایت نمایش بدن.

استفاده از Favicon ها به مارس 1999 برمیگره که مایکروسافت، مرورگر Internet Explorer 5 رو منتشر کرد و در این مرورگر برای اولین بار از این ویژگی پشتیبانی شد. در اصل Favicon یه فایلی بنام favicon.ico هست که در دایرکتوری root سایت قرار میگیره. اون زمان این ویژگی در صفحاتی که بوکمارک شده بودن فقط نمایش داده میشد و در نتیجه با بررسی درخواستها به این فایل میشد فهمید که چند نفر این صفحه رو بوکمارک کردن. اما به مرور زمان ، بقیه ی مرورگرها هم از اون پشتیبانی و در بخش های مختلف ازش استفاده کردن. بنابراین الان دیگه نمیتونید از این آیکون برای بررسی تعداد بوکمارکها استفاده کرد.

 

 

جایگاه Favicon در امنیت سایبری چی هستش :

اما این آیکون های ساده در حوزه ی امنیت سایبری چه کاربردی میتونن داشته باشن . در ادامه به چند نمونه اشاره میکنیم.

با توجه به اینکه اغلب سازمانها و شرکتها و افراد از لوگوها یا آیکون های منحصر به فرد ، بعنوان Favicon در سایتهاشون استفاده میکنن، بنابراین این ویژگی این امکان رو میده که بشه از روی این آیکون های ساده، سایتهای اصلی رو شناسایی کرد.

یعنی مثلا اگه موتور جستجوی گوگل رو در نظر بگیرید، ما یسری عبارت وارد میکنیم و گوگل اونارو برای ما جستجو و نتایج رو میده. حالا فرض کنید که ما یه Favicon مثلا به گوگل بدیم و به این ترتیب بتونیم، سایتهایی که از این آیکون استفاده میکنن رو شناسایی کنیم. اما این کار چه فایده ای داره ؟

فرض کنید قراره روی برنامه باگ بانتی سونی کار کنید. سونی تو قسمت توضیحات برنامه اش، اعلام کرده که میتونید روی همه ی سایتهایی که مرتبط با سونی هست، کار کنید. بنابراین یکی از راهکارهایی که میتونید از طریق اون ، سایتهای مرتبط با سونی رو پیدا کنید، جستجوی Favicon مرتبط با سونی هست.

همچنین از جستجوی Favicon میشه در فرایند تیم آبی هم استفاده کرد. فرض کنید شما صاحب یه شرکت یا موسسه ای هستید و خدماتی رو ارائه میدید که ممکنه توسط بازیگران تهدید، مورد سوء استفاده قرار بگیرن. مثلا کیف پول ارزهای دیجیتال ارائه میدید یا فروشگاه آنلاین دارید و حتی یه سازمان دولتی هستید. فرض کنید بازیگران تهدید برای اینکه از خدمات شما سوء استفاده کنن، سایت شما رو جعل میکنن، شما با جستجوی Favicon ، میتونید این سایت های جعلی رو شناسایی کنید و اقدامات لاریم برای بسته شدن اونارو فراهم کنید.

همچنین از جستجوی Favicon میشه برای شناسایی پنل های بدافزاری و فیشینگ استفاده کرد. برای این کار ، میشه آیکون یه نمونه از این پنل ها رو بدست آورد و با جستجوی اون در کل اینترنت، سایتهایی که از این آیکون ها استفاده میکنن رو پیدا کرد.

کاربرد بعدی این آیکون ها در حوزه ی امنیت سایبری ، بدست آوردن IP اصلی یه سایت هستش. امروزه اغلب سایتها از CDN برای بهینه سازی و امنیت استفاده میکنن. در اصل این سایتها پشت CDN قرار میگیرن و وقتی شما فرایند ریکان رو انجام میدید، عمدتا با این CDN درگیر هستید تا نسخه ی اصلی سایت. اما اگه بتونید، اطلاعاتی از جمله IP اصلی سایت رو بدست بیارید، میتونید بردارهای حمله ی جدیدی رو روش انجام بدید. یکی از تکنیک هایی که میشه این IPها رو بدست آوردن، جستجوی Favicon ها هست. شما با جستجوی Favicon ها ، ممکنه به آدرس های IP برسید که از این Favicon استفاده میکنن.

نکته ای که هست، اصولا اگه سایت به درستی پیکربندی شده باشه، نباید ما از طریق جستجوی Favicon به IP برسیم، چون سایتی که پشت CDN باشه، طوری پیکربندی میشه که دسترسی به وب سرور محدود به اتصالات CDN باشه.

البته از این تکنیک برای شناسایی IP های اصلی سایتهای دارک وبی هم استفاده کردن که میتونید جزئیاتش رو در شماره دوم مجله ی ONHEXmag مشاهده کنید.

 

ابزارهای استفاده از Favicon ها:

تا اینجای مقاله، متوجه شدیم که Favicon ها چی هستن و برای چی بوجود اومدن و چه کاربردی میتونن در حوزه ی امنیت سایبری داشته باشن. اما نکته ای که این وسط می مونه این هست که چطوری از Favicon استفاده کنیم.

برای این منظور دو دسته ابزار داریم :

  • ابزارهایی که هش Favicon ها رو تولید میکنن.
  • ابزارهایی که امکان جستجو براساس Favicon ها رو میدن.

موتورهای جستجویی که امکان جستجو براساس Favicon رو میدن، عمدتا براساس HASH کار میکنن. یعنی ما قبل از جستجو، باید هش Favicon مورد نظرمون رو بدست بیاریم. برای این منظور ابزارهای مختلفی هست که اینجا یه نمونه اش رو معرفی میکنیم.

یکی از ابزارهایی که امکان تولید هش رو میده، favscan هست. این ابزار توسط شودان توسعه داده شده و برای پلتفرم های مختلف قابل دسترس هست.

  • Linux
  • Windows
  • DEB package
  • RPM package
  • Mac (arm64)

این ابزار میتونه یه فایل favicon.ico رو در ورودی بگیره و مقدار هش اونو محاسبه کنه. همچنین این کار رو از طریق یه URL هم انجام میده. برای این کار ابزار مسیر favicon.ico رو چک میکنه، اگه موردی پیدا کرد، هش اونو محاسبه میکنه، اگه نه ، در صفحه دنبال shortcut icon میگرده و مسیر اونو بررسی و هش رو محاسبه میکنه. یکی از روش هایی که طراحان سایت میتونن ازش برای تعریف Favicon استفاده کنن، کد زیر هست که در مرورگرهای مختلف هم پشتیبانی میشه :

 

1
<link rel="shortcut icon" href="https://example.com/myicon.ico">

 

همچنین URL ای که ارائه میدید، میتونه دارای پورت و … هم باشه. در زیر نمونه هایی از نحوه ی استفاده از این ابزار رو مشاهده میکنید :

 

1
2
3
4
5
6
7
8
9
10
11
12
$ favscan -h
Calculate the favicon hash of a local file, hostname or URL
 
Usage: favscan [OPTIONS] <LOCATION>
 
Arguments:  
  <LOCATION>  
 
Options:  
  -v, --verbose  
  -h, --help     Print help
  -V, --version  Print version

 

1
2
3
4
5
6
7
8
favscan favicon.ico
favscan google.com
favscan https://test.shodan.io:6993
 
 
 
$ favscan gitlab.com
1265477436

 

بعد از اینکه هش Favicon مدنظرمون رو بدست آوردیم، نوبت اینه که ، با استفاده از موتورهای جستجو این هش هارو بررسی کنیم. برای دسترسی به موتورهای جستجوی در حوزه ی امنیت سایبری، اینجا رو مشاهده کنید.

با توجه به اینکه، اغلب کاربران ایرانی از شودان برای این منظور استفاده میکنن، نحوه ی جستجو رو در این موتور جستجو ادامه میدیم.

اطلاعاتی که شودان از Favicon سایتهای مختلف جمع آوری میکنه ، بصورت زیر هستش :

 

1
2
3
4
5
{
        "data": "AAABAAIAEBAAAAAAIABoBAAAJgAAACAgAAAAACAAqBAAAI4EAAAoAAAAEAAAACAAAAABACAAAAAA\nAEAEAAAAAAAAAAAAAAAAAAAAAAAA////Af///wH///8B////Af///wH///8B////ASWX/RUne/MX\n////Af///wH///8B////Af///wH///8B////Af///wH///8B////Af///wH///8B////ASan/EEn\nbvThJm/05yai/EP///8B////Af///wH///8B////Af///wH///8B////Af///wH///8BJqP8Ayaj\n/I0mi/v5J1Tt/SdT7Psmi/z5JqL8j////wH///8B////Af///wH///8B////...",
        "hash": 516963061,
        "location": "https://about.gitlab.com:443/ico/favicon.ico"
}

 

 

  • data : آیکون رو بصورت رشته های Base64 مشخص میکنه.
  • hash : همون هشی هست که در قسمت قبل محاسبه کردیم. در اصل این هش ، رشته data رو براساس MurmurHash3 نمایش میده. دلیل اینکه بجای MD5 و … از هش MMH3 استفاده کردن، سرعت بالا و سایز کم خروجی این هش هست. تو شودان برای جستجو از این مقدار استفاده میکنیم که برای این منظور شودان یه API بصورت http.favicon.hash در اختیارمون گذاشته.
  • location: مسیر Favicon رو مشخص میکنه. اصولا این فایل رو بصورت پیش فرض در دایرکتوری root قرار میدن اما میشه اونو هر جایی قرار داد، اما در این صورت باید از کدهای HTML برای ارجاع به اون استفاده کرد. یه نمونه اش بالا اشاره کردیم، یه نمونه اش میتونه این باشه :

 

1
<link rel="icon" type="image/png" href="/assets/favicon-yellow-018213ceb87b472388095d0264be5b4319ef47471dacea03c83ecc233ced2fd5.png" />

 

برای اینکه بتونید در شودان جستجوی Favicon رو انجام بدید، اگه از وب سایتش استفاده کنید، میتونید از این کوئری استفاده کنید : (هش 1265477436 مربوط به Gitlab هست. در این کوئری میخواییم دنبال مواردی باشیم که از Favicon Gitlab استفاده کردن )

 

1
http.favicon.hash:1265477436

 

این کوئری در نسخه ی CLI یا API هم پشتیبانی میشه، که میتونید ازش در صورتی که بخشی از ریکانتون رو خودکار کردید استفاده کنید. مثلا در کوئری زیر ، میخواییم ببینیم، چند تا نمونه وجود داره که از Favicon Gitlab استفاده میکنن :

 

1
2
$ shodan count http.favicon.hash:1265477436
29558

 

همونطور که بالا اشاره شد، برای جستجوی Favicon ابزار و موتورهای جستجوی مختلفی وجود داره. در کنار ابزارهایی که بالا اشاره کردیم، سایت Favicon Hasher هم میتونه گزینه ی خوبی باشه.

مزیت این ابزار اینه که آدرس سایت رو میگیره، هش اونو محاسبه میکنه و لینک جستجوی اون در موتورهای جستجوی شودان، Censys و Zoomeye رو میده.

 

faviconhasher

 

 

منابع:

شودان

ویکیپدیا

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In Osint اخبار امنیت وب باگ بانتی تیم آبی تیم قرمز مقالاتIn Censys , Favicon , Favicon Hasher , ZoomEye , شودان , معرفی ابزار

راهبری نوشته

شناسایی بدافزارهای iOS با فایل Shutdown.log
حمله سایبری به AnyDesk

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

بایگانی‌ها

  • می 2025
  • آوریل 2025
  • مارس 2025
  • فوریه 2025
  • ژانویه 2025
  • دسامبر 2024
  • نوامبر 2024
  • اکتبر 2024
  • سپتامبر 2024
  • آگوست 2024
  • جولای 2024
  • ژوئن 2024
  • می 2024
  • آوریل 2024
  • مارس 2024
  • فوریه 2024
  • ژانویه 2024
  • دسامبر 2023
  • نوامبر 2023
  • اکتبر 2023
  • سپتامبر 2023
  • آگوست 2023
  • جولای 2023
  • ژوئن 2023
  • می 2023
  • آوریل 2023
  • مارس 2023
  • فوریه 2023
  • ژانویه 2023
  • دسامبر 2022

پست های مرتبط

  • آنالیز بدافزار
  • اخبار
  • امنیت وب
  • بازیگران تهدید
seyyid
On فروردین 5, 1403فروردین 6, 1403

سایت های وردپرسی هدف کمپین بدافزاری Sign1

  • Osint
  • اخبار
  • افشای اطلاعات
  • بازیگران تهدید
seyyid
On تیر 27, 1402بهمن 16, 1402

هکری که خودش هک کرد و فروخت !

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On فروردین 9, 1402فروردین 28, 1402

بروزرسانی 7 فروردین 1402 اپل

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On بهمن 15, 1402بهمن 15, 1402

اصلاح چندین آسیب پذیری در Jenkins

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404