FOFA — это поисковая система интернет-активов, первоначально разработанная в Китае, предназначенная для обнаружения, индексирования и картирования глобальных сетевых устройств и сервисов. Платформа собирает метаданные о подключённых к сети устройствах, открытых портах, серверах, используемых службах и цифровых отпечатках (fingerprints), позволяя анализировать распределение и конфигурацию интернет-ресурсов. FOFA используется специалистами по безопасности, исследователями и администраторами для оценки поверхности атак, проверки доступности сервисов и мониторинга изменений в интернет-инфраструктуре.
Исторически FOFA возникла как ответ на потребность в инструментах для массового сканирования и каталогизации уязвимых или публично доступных активов в сети. Система собирает данные из множества источников, включая сетевые отклики, баннеры сервисов и протоколы идентификации, после чего индексирует их для поисковых запросов по различным критериям: IP-адрес, домен, порт, заголовки сервисов, SSL-сертификаты и специфические сигнатуры. Описание и функции FOFA отражают общую практику классических интернет-сканеров и поисковых движков активов, применяемую в задачах оценки безопасности и аудита.
- Индексация активов: сбор и хранение сведений о сетевых устройствах, открытых портах, сервисах и протоколах для последующего поиска и анализа.
- Поисковые запросы по отпечаткам: возможность формулировать сложные запросы на основе баннеров, строк идентификации, сертификатов и других признаков для нахождения схожих или уязвимых ресурсов.
- Агрегация метаданных: сопоставление данных об адресах, провайдерах, геолокации и связях между активами для картирования инфраструктуры.
- Фильтрация и экспорт: инструменты для фильтрации результатов по критериям и экспорта выборок для дальнейшего анализа и отчётности.
- Поддержка протоколов и сервисов: распознавание широкого спектра сетевых протоколов и сервисов (веб-серверы, базы данных, почтовые сервера, IoT-устройства и др.) через анализ баннеров и ответов.
- Мониторинг изменений: отслеживание появления или исчезновения сервисов и изменений в конфигурации известных активов во времени.
- Инструментарий для аудита безопасности: применение результатов поиска для оценки поверхности атак, выявления потенциально открытых административных интерфейсов и уязвимых версий ПО.
- Интеграция с рабочими процессами: возможности для включения данных в аналитические и инцидент-менеджмент процессы в рамках управления рисками.
- Конфиденциальность и доступ: разнообразные режимы доступа к данным — от публичных запросов до платных аккаунтов с расширенными функциями и объёмами выборок.
- Ограничения и риски: зависимость качества индексации от методов сбора, возможность устаревших данных и юридические/этические вопросы, связанные со сканированием и анализом публичных активов.