公開資源情報計劃（Open source intelligence ），簡稱OSINT，是美國中央情報局（CIA）的一種情報搜集手段，從各種公開的信息資源中尋找和獲取有價值的情報。
有各種各樣的數據可以被歸類為OSINT數據，但從滲透測試者的角度來看所有這些數據都不重要。作為滲透測試人員，我們更感興趣的是那些可以為我們實際所利用的數據信息。例如：
可增加攻擊面的信息（域，網塊等）；
憑據（電子郵件地址，用戶名，密碼，API密鑰等）；
敏感信息（客戶詳細信息，財務報告等）；
基礎架構詳情（技術棧，使用的硬件設備等）；

12種OSINT信息收集技巧
1. SSL/TLS證書通常都會包含域名，子域名和電子郵件地址。這使得它成為了攻擊者眼中的一座寶庫。
證書透明度Certificate Transparency是谷歌力推的一項擬在確保證書系統安全的透明審查技術，只有支持CT技術簽發的EV SSL證書，谷歌瀏覽器才會顯示綠色單位名稱，否則chrome瀏覽器不顯示綠色單位名稱。
新的簽發流程規定：證書必須記錄到可公開驗證、不可篡改且只能附加內容的日志中，用戶的網絡瀏覽器才會將其視為有效。通過要求將證書記錄到這些公開的 CT 日志中，任何感興趣的相關方都可以查看由授權中心簽發的所有證書。這意味著任何人都可以公開獲取和查看這些日志。為此，我專門編寫了一個用于從給定域CT日志中找到的SSL/TLS證書中提取子域的腳本。

另外，再推薦大家一款工具SSLScrape。這是一款將網絡塊（CIDR）作為輸入，來查詢各個IP地址獲取SSL/TLS證書，并從返回的SSL證書中提取主機名的工具。
sudo python sslScrape.py TARGET_CIDR

2. WHOIS服務在滲透測試期間，通常用于查詢注冊用戶的相關信息，例如域名或IP地址（塊）。WHOIS枚舉對于在互聯網上擁有大量資源的組織尤為有效。
一些公共WHOIS服務器支持高級查詢，我們可以利用這些查詢來收集目標組織的各種信息。
下面我以icann.org為例，通過查詢ARIN WHOIS server獲取目標域所有包含email地址的條目，并從中提取email地址。
whois -h whois.arin.net "e @ icann.org" | grep -E -o "\b[a-zA-Z0-9.-]+@[a-zA-Z0–9.-]+\.[a-zA-Z0–9.-]+\b" | uniq

通過查詢RADB WHOIS server獲取屬于自治系統號（ASN）的所有網絡塊。
whois -h whois.radb.net -- '-i origin AS111111' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq

通過查詢ARIN WHOIS server獲取給定關鍵字的所有POC，ASN，組織和終端用戶。
whois -h whois.arin.net "z wikimedia"

3. 自治系統（AS）號可以幫我們識別屬于組織的網絡塊，以及發現網絡塊中主機上運行的服務。
使用dig或host解析給定域的IP地址：
dig +short google.com
獲取給定IP的ASN：
curl -s http://ip-api.com/json/IP_ADDRESS | jq -r .as
我們可以使用WHOIS服務或NSE腳本，來識別屬于ASN號碼的所有網絡塊：
nmap --script targets-asn --script-args targets-asn.asn=15169

4. 如今使用云存儲的企業越來越多，尤其是對象/塊存儲服務，如Amazon S3，DigitalOcean Spaces和Azure Blob Storage。但在過去的幾年里，由于S3 buckets錯誤配置導致的數據泄露事件頻出。
根據我們的經驗，我們看到人們將各種數據存儲在安全性較差的第三方服務上，從純文本中的憑據到他們私人的寵物照片。
這里有一些工具例如Slurp、AWSBucketDump和Spaces Finder，可用于搜索可公開訪問的對象存儲實例。Slurp和Bucket Stream等工具將證書透明度日志數據與基于置換的發現相結合，以識別可公開訪問的S3 buckets。


5. Wayback Machine是一個國外的網站，它是互聯網的一個備份工具，被稱為互聯網時光機，自從1996年以來Wayback Machine已經累計備份了超過4350億個網頁。
你只要在它的網站上輸入一個網站地址，就能看到這個網站在過去的不同時期分別長什么樣。通過Wayback CDX Server API我們可以輕松的搜索存檔。waybackurls是一個用于搜索目標站點相關數據的工具。