FOCA (Fingerprinting Organizations with Collected Archives), 免费工具一枚. 由西班牙的一家公司informatica64公布, 主要用途是提取隐藏于文件中的深层信息. 在2009年的DEFCON 17上, 有一个介绍性演讲的题目叫做Tactical Fingerprinting using metadata, hidden info and lost data using FOCA (直译: 战术指纹提取?), 此演讲的音频、slides及white paper可以在这个页面找到.
同类工具有Libextractor/Metagoofil/OOMetaExtractor等, 在作者的slides中亦有所涉及, 大致解决方案也略有阐述.
功能:
- 搜索引擎中搜索文件
- 抓取符合条件的文件
- 挖掘和解读隐藏信息
- 最终整合及分析信息
可提取的信息类型:
- Metadata: 文档自身信息,如作者, 审核者等.
- Hidden Information: 由程序生成, 不可人为编辑. 如路径, 打印机名等.
- Lost Data: 人为失误写入, 如非纯文本方式的粘贴可能附带的内网URL.
可分析文件类型:
*.doc, *.docx, *.ppt, *.pptx, *.pps, *.ppsx, *.xls, *.xlsx, *.odp, *.odt, *.ods, *.odg, *.pdf, *.wpd, *.sxw 等.
下载FOCA (需填写邮箱获取下载地址)
FOCA在线版 (类似于VirScan.org提供在线分析服务)
小议: 如果只是能够提取Meta数据倒是没什么. FOCA的亮点不仅在于可以提取前述的Hidden Info和Lost Data, 更重要的是结合了Google Hacking, 相当于一种思路上的拓宽和流程的整合, 分析规模较大的站点用来搜集信息还是非常方便的. 喜欢CSRF和探索的童鞋不妨Google一下作者在slides中给出的例子.
最后, 附上演讲者讲的一个事情, 真实性未考:
Microsoft Word bytes Tony Blair in the butt.
背景提示:
- Iraq war was about to start.
- US wanted the UK to be an ally.
- US sent a document “proving” the existence of massive destruction weapons.
- Tony Blair presented the document to the UK parliament.
- Parliament asked Tony Blair: “Has someone modified the document?”
- He answered: No
有一句老话说得很好: 安全, 是一项系统工程.