March 5, 2023

Идентификация владельца веб-сайта

Я решил написать эту статью так как, практически каждый кибер-преступник имеет свой сайт. Мошенники используют сайты, для того чтобы войти в доверие жертве, хакеры используют сайты для продажи своих услуг и интернет-вымогательства. В наше время почти у каждого есть свой сайт, именно по этому эта тема настолько важна.

Из чего состоит веб-сайт?

Домен

Домен это название сайта которое вы вводите в адресную строку, как yandex.ru, google.com итд.

DNS (Domain Name System) — Компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста, получения информации о маршрутизации почты и/или обслуживающих узлах для протоколов в домене.

Обычно домен состоит из 3х частей, но бывает что домен состоит из 4х частей.

|https://|maps|.|google|.|com| — Пример домена из 4х частей.

https:// — Это протокол безопасности, чаще всего вы можете встретить протоколы http (Протокол прикладного уровня передачи данных, изначально - в виде гипертекстовых документов в формате HTML, в настоящее время используется для передачи произвольных данных.) и более безопасную его версию https, который позволяет обменивается сайту с пользователем данными так, чтобы администратор сайта не смог увидеть действия пользователей.

maps — В данном случае слово "maps" является поддоменном, это то слово которое находится под основным доменом.

google — Доменное имя, основной домен.

com — Доменная зона, обозначает статус домена, в данном случае com, что означает что это международный домен. Приведу еще пару примеров.

ru — Российский сайт

Пример национальной доменной зоны, скорее всего такая доменная зона будет состоять из кода страны, например RU (Russia).

gov — Государственный сайт
biz — Для бизнеса

Доменные зоны, вы можете посмотреть по ссылке.

Cистема Управления Сайтом

Для быстрого доступа администратора к админ-панели была создана CMS.

CMS (Content Management System) — Информационная система или компьютерная программа, используемая для обеспечения и организации совместного процесса создания, редактирования и управления содержимым сайта.

Конечно, если вы будете создавать свой сайт, вы должны будете выбрать такую CMS, которая подойдет вам.

WordPress

Эту CMS используют для введения информационных ресурсов, дневников, создания сайтов-визиток.

Популярнейшая утилита для исследования сайтов на WordPress является WPScan (GitHub), это многофункциональное приложение для поиска уязвимостей и информации о сайте на WP, созданное для специалистов в сфере информационной безопасности.

Drupal

Эта CMS используется для введения веб-сайтов с функционалом социальных сетей, обычно форумы.

Для анализа сайтов на Drupal, вы можете использовать Drupal Introspection, которая произведет аудит безопасности сайта на Drupal.

Joomla!

Это многофункциональный CMS, умеющий все понемногу.

JoomlaVS, это сканнер уязвимостей сайтов на Joomla.

Это пример 3х популярных CMS сайта. CMS вообще является отдельной темой. Их неисчислимое количество и написать про все, я просто не могу.

Структура веб-сайта

Веб сайт состоит из главной и второстепенных страниц. Некоторые из этих страниц, скрыты для пользователя, но в большинстве случаев информация о директориях веб-сайта хранится в документе robots.txt. Его можно получить таким образом:

example.com/robots.txt

Вы можете попробовать такой трюк с сайтом google.com.

Скриншот robots.txt

Попрошу заметить, что документ может быть скрыт, или передвинут на другое место от любопытных глаз.

Роясь в robots.txt, вы можете наткнутся на не менее полезную нам директорию sitemap.xml.

Sitemap — XML-файлы с информацией для поисковых систем о страницах веб-сайта, которые подлежат индексации. Sitemaps могут помочь поисковикам определить местонахождение страниц сайта, время их последнего обновления, частоту обновления и важность относительно других страниц сайта для того, чтобы поисковая машина смогла более разумно индексировать сайт.

Грубо говоря, это документ который содержит в себе информацию о всех страницах, на которые вы могли бы наткнутся, используя Google.

example.com/sitemap.xml

Пример карты сайта

Поиск используя WHOIS

WHOIS — Сетевой протокол прикладного уровня, базирующийся на протоколе TCP. Основное применение - получение регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем.

Грубо говоря, это протокол который может выдать информацию о регистрационных данных сайта, в том числе, это иногда может быть ФИО владельца веб-сайта.

Я собрал топ-3 самых удобных WHOIS сервисов:

  1. 2IP.RU, это сервис с достаточно большим функционалом, от развлечений, до нужного нам WHOIS.
Интерфейс 2IP.RU

Есть предосмотр, так же можно посмотреть полный WHOIS, нажав на соответствующую кнопку.

2. DomainWatch, веб-сайт который будет производить анализ, с более OSINTерским уклоном. Он соберет информацию о владельце домена, на основе WHOIS.

Интерфейс DomainWatch

3. https://t.me/pwIPbot, такой же многофункциональный сервис с возможностью WHOIS, только уже в виде Telegram-бота, что многим может показаться достаточно удобным.

Интерфейс PwIPbot

Ручной анализ WHOIS

Ниже я разберу интересующие нас строки при анализе WHOIS веб-сайта.

Creation Date, Expiration Date — Эти две строки покажут нам когда домен был создан и когда его действие истекает, которое конечно же, можно продлить.

Registrar — Эта строка дает информацию о регистраторе веб-сайта, это компания которая хранит уже личную информацию о владельце сайта

Name, Organization, Street, City, State/Province, Postal Code, Country, Phone, Fax, Email, Admin ID — Это все интересующие нас, личные данные администратора. Если вам повезло, они могут быть и не скрыты, но чаще всего эти данные скрыты организациями, как Domains By Proxy.

Name Server — Наименования серверов сайта, это так же может вам помочь в расследовании.

Автоматизированные сервисы уже научились производить анализ строк выше, но тем не менее перечисленное выше, сможет вам помочь в расследовании.

Пример скрытия данных

Поиск информации о репутации сайта

Если нам необходимо узнать, участвовал ли конкретный веб-сайт в судебных делах, подвергался ли блокировки и как пользователи отзываются об этом сайте, необходимо будет использовать следующие инструменты и методики.

Блокировки веб-сайта

На территории РФ блокировку веб-сайта могут инициировать такие ведомства как Роскомнадзор, Генеральная прокуратура, ФСБ, Роспотребнадзор и конечно суды.

Кто блокирует и за что

Но вместо того, чтобы бегать от сайта одной структуры, к другой, мы можем просто обратится к общим реестрам, таким как RuBanList, тут собрана информация о заблокированных сайтах на территории РФ. Так же я кратко пройдусь по подобным сайтам, только на территории нескольких стран СНГ.

Вы так же можете воспользоваться сервисами предоставляющих услугу Check-Host, которая показывает в каких странах доступен и недоступен сайт и время ответа. К примеру, сайт check-host.net.

Важно: Если сервис показывает что сайт недоступен в одной, или более странах, это не значит что была произведена блокировка, на это есть разные причины, к примеру владелец интернет-ресурса мог самостоятельно отключить доступ к сайту с определенных стран.

Для того чтобы быть более уверенным, воспользуйтесь реестрами соответствующих стран, которые вы можете найти в открытом доступе

Информация о нарушении авторского права

Сайт Lumen предоставит информацию о юридических жалобах и запросах на удаление онлайн-материалов. Использование инструмента крайне просто, необходимо вбить веб-сайт поисковую строку и получить информацию о всех жалобах на него.

Интерфейс Lumen

Просмотр пользовательских оценок

Тут, все проще простого, просто вбиваем в Google (домен.ru "отзывы", "оценки") и получаем сайты отзывников, упоминания в социальных сетях и многую другую информацию о конкретном сайте.

Поисковой запрос

Помните, что не всему написанному в интернете можно доверять, используйте сразу несколько источников для составления доказательной базы.

Поиск с использованием Google-Доркинга

Google-Доркинг очень часто может помочь в поиске информации о веб-сайте, так как, с помощью доркинга можно находить конкретные страницы, файлы и текст. Давайте рассмотрим несколько полезных дорков. Опять же, тут все зависит от вашей фантазии, вы можете составлять запросы как вам угодно, я буду приводить только базу.

cache:www.interpol.int

Данный запрос выдаст нам сохраненную версию сайта, что можно сделать более эффективно используя инструменты как Internet Archive, Archive Today, ВЕБ-АРХИВ, Perma, вышеупомянутые сервисы обладают гораздо большим функционалом чем браузерный кэш. У других браузеров есть схожие функции, например "Сохраненная копия" в Яндекс Браузере.

Такой же трюк можно выполнять с директориями, пример cache:https://site.com/login

Сохраненная страница сайта interpol.int через Google

filetype

Этот запрос выдаст информацию о файлах определенного формата находящихся на веб-сайте. К запросу можно добавить intext: для того чтобы получить файл с нужным нам текстом.

На примере видим такой запрос: site:gov.spb.ru filetype:xls. Следующий запрос должен выдать нам все файлы формата xls (excel) находящихся на сайте и в открытом доступе.

Пример запроса с filetype.

Еще напишу, что существует filetype:log, который выдает общедоступные логи.

запрос с filetype:log

Кавычки ("")

Кавычки могут быть использованы для того, чтобы произвести поиск по определенному слову, к примеру site:facebook.com "Andrew Tate". Такой запрос выдаст нам информацию об упоминаниях Эндрю Тейта на сайте Facebook.

Запрос с кавычками

Это самые популярные способы поиска информации о веб-сайте, конечно Google способен на большее, я вам советую воспользоваться Google Hacking Database для составления собственных запросов.

Поиск информации о метаданных

Владелец сайта мог не удалить exif-данные при загрузки их на свой сайт и по ошибке оставить свои личные данные, как данные об устройстве на который делался снимок.

EXIF — Стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения, авторство и т. п. Получил широкое распространение в связи с появлением цифровых фотокамер. Информация, записанная по этому стандарту, может использоваться как пользователем, так и различными устройствами, например, принтером.

Для просмотра метаданных, можно использовать сайт Metadata2Go, вы можете выбрать 1 из 4х видов загрузки файла, с устройства, Google Диска, DropBox и напрямую из ссылки.

Метаданные

Поиск связанных контактов

Для начала вы можете попробовать подбор email-адресов с соответствующим доменным именем. Попробуйте использовать следующие слова: admin, info, наименование организации, contact, office, support и др.

Далее, проверьте почту на существование, с использованием протокола STMP.

STMP — Широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.

Для этого можно использовать 2IP Mail Checker, который покажет существует ли ваша почта на самом деле. Я писал об этом подробнее в следующей статье.

Работа STMP

Этот процесс так же был автоматизирован сервисом hunter.io. Конечно, Hunter использует дополнительные методы поиска электронной почты, для поиска требуется зарегистрированный аккаунт.

Интерфейс Hunter.io

В большинстве случаев, администратор веб-сайта оставляет платежные реквизиты, либо другие контактные данные, как номер телефона, либо адрес электронной почты.

Контактные данные

После того, как у вас имеются другие данные, вы можете продолжать поиск, но уже по ним.

Узнаем о всех доменах одного владельца

Для того чтобы узнать все домены одного владельца мы можем воспользоваться сервисом SpyOnWeb, который покажет все домены и поддомены одного владельца основываясь на разных данных, как одинаковый IP.

Интерфейс сайта удобный и достаточно многофункциональный. Доступен API, регистрация не требуется.

Интерфейс spyonweb

Конечно, у сервиса большое количество аналогов, тот самый 2IP, тоже предоставляет такие услуги, но тем не менее, этот сайт я считаю наиболее удобным для следующей цели.

Изучение уникальных рекламных идентификаторов на сайте

В наше время все больше и больше корпораций продают данные о своих клиентах рекламным компаниям.

Рекламный идентификатор — это уникальный сбрасываемый идентификатор для показа рекламы. Он упрощает управление данными для пользователей и обеспечивает простую стандартизированную систему монетизации приложений для разработчиков.

Большое количество веб-сайтов используют рекламные идентификаторы. Давайте же попробуем найти их. Для этого, нам понадобится открыть код страницы.

После того, как открыли код страницы, ищем следующие ключевые слова:

Pub- или ca-pub (Компания AdSense)
UA- (Компания Google)
&tag= (Компания Amazon)
#pubid / pubid (Компания AddThis)
mc.yandex / ym (Компания Яндекс)

Яндекс Метрика

Вот, к примеру сайт РИА Новости использует Яндекс Метрику для сбора аналитических данных своих пользователей.

Конечно, было бы очень муторно каждый раз самостоятельно искать индикаторы, именно по этому были разработаны онлайн-сервисы которые определяют какие компании проводят сбор данных на том, или ином сайте.

TheMarkUp, это один из сервисов который показывает какие компании причастны к сбору данных на конкретном веб-сайте.

Работа The Markup

Самое интересное то, что Яндекс позволяет получать доступ к статистики имея уникальный ID, через следующую ссылку: https://metrika.yandex.ru/dashboard?id=ID, но вместо ID, нужно будет вставить, тот самый Advertising ID который вы найдете в коде страницы. У РИА, это 960630.

Интерфейс Яндекс.Метрики

Для просмотра, понадобится регистрация в Яндексе. Интересную находку обнаружили коллеги из T.Hunter. Первым пользователем сайта вероятней всего будет сам администратор. Соответственно, мы сможем вычислить его интересы.

Интересы администратора сайта N

Популярные решения для проведения аудита

Конечно, все мы наслышаны о популярных утилитах для проведения аудита безопасности определённого интернет-сайта. Давайте кратко поговорим о каждом и как он может помочь в поиске данных.

Acunetix Web Vulnerability Scanner

Acunetix, это один из наиболее распространенных сканнеров уязвимостей сайта. Это отдельная тема, так как среднестатистический отчет состоит из 150 страниц

Из отчета Acunetix

Как вы уже поняли, ПО обладает огромным функционалом и является мощнейшим инструментом. У сканнера приятный и простой интерфейс, вам просто понадобится ввести домен и ждать. Единственное, что ждать придется долго, мой опыт работы со сканнером показал, что примерное время ожидания — 8-9 часов.

Spider Foot

Наипопулярнейший среди специалистов в OSINT инструмент, который вошел в ТОП-10 лучших инструментов по версии компании T.Hunter, утилита позволяет анализировать огромное количество данных и строить графы, spider foot, подобно Maltego способен работать с модулями. А самое главное то, что SpiderFoot, является частично бесплатным инструментом, он позволяет проводить 3 анализа в месяц бесплатно.

Интерфейс Spiderfoot

Nikto

Nikto, достаточно не новый инструмент для проведения анализа уязвимостей сайта, но это не делает его хуже, мощный, бесплатный инструмент с открытым исходным кодом, способен провести анализ сайта за достаточно быстрый срок.

В вышеупомянутом Telegram-Боте @pwIPbot внедрен следующий сканнер в премиум версии. Если у вас стоит ОС Kali Linux, то сканнер будет уже предустановлен. А, если у вас нет Kali Linux, то можете скачать его с GitHub и воспользоваться командой ниже.

apt install nikto

Интерфейс Nikto

Итоги

На этом все, я описал большую часть методик для поиска информации о владельце сайта, конечно их очень много и они просто не поместятся в одну статью. Подписывайтесь на мой канал для того чтобы быть осведомленным о новых методиках поиска.


Автор: @moonIighted
Канал: @osintkanal