DevToys Web Pro iconDevToys Web Proوبلاگ
به ما امتیاز دهید:
افزونه مرورگر را امتحان کنید:

Defang / Fang برای URLها و IPها

انجام شد
حالت

ورودی

  • خروجی

  • جزئیات فنی

    ابزار Defang/Fang برای URLها و IPها چگونه کار می‌کند

    این ابزار چه کاری انجام می‌دهد

    ابزار Defang/Fang با جایگزین‌کردن کاراکترهایی که باعث لینک‌شدن خودکار می‌شوند، URLها و آدرس‌های IP را به قالبی امن و غیرقابل‌کلیک تبدیل می‌کند. در Defang کردن، نقطه‌ها با [.] و جداکنندهٔ طرح (scheme) با [://] جایگزین می‌شود و رشته‌هایی مانند hxxps://example[.]com یا 192[.]168[.]1[.]1 تولید می‌گردد. عملیات معکوس (Fang کردن) شکل قابل‌کلیکِ اصلی را بازمی‌گرداند. این یک رویهٔ استاندارد در امنیت سایبری و گزارش‌دهی اطلاعات تهدید است تا از هدایت ناخواسته به سایت‌های مخرب جلوگیری شود.

    موارد استفادهٔ رایج برای توسعه‌دهندگان

    تحلیلگران امنیتی هنگام به‌اشتراک‌گذاری شاخص‌های نفوذ (IoCها) در گزارش‌های رخداد، فیدهای اطلاعات تهدید، هشدارهای SIEM، رشته‌ ایمیل‌ها و کانال‌های Slack، URLها و IPها را Defang می‌کنند تا خوانندگان نتوانند به‌طور تصادفی روی لینک‌های مخرب کلیک کنند. توسعه‌دهندگانی که پلتفرم‌های اطلاعات تهدید یا ابزارهای SOAR می‌سازند، از Defang کردن به‌عنوان یک مرحلهٔ پیش‌پردازش قبل از ذخیره‌سازی یا نمایش IoCها استفاده می‌کنند. برای بازگرداندن URLها جهت اسکن خودکار یا جریان‌های کاری غنی‌سازی، Fang کردن لازم است.

    قالب‌ها، نوع‌ها یا گونه‌های داده

    در URLهای Defang‌شده، جداکنندهٔ طرح (http یا https) یعنی :// با [://] و هر نقطه در نام میزبان و مسیر با [.] جایگزین می‌شود. در آدرس‌های IPv4 نیز هر نقطه با [.] جایگزین می‌شود و قالب‌هایی مانند 10[.]0[.]0[.]1 ایجاد می‌گردد. در آدرس‌های IPv6 ممکن است دونقطه‌ها با [:] جایگزین شوند. برخی قراردادها همچنین TLD را داخل براکت قرار می‌دهند؛ برای مثال example[.]com. قالب دقیق ممکن است بین ابزارها و سازمان‌ها متفاوت باشد؛ بنابراین پیش از واردکردن IoCهای Defang‌شده به سامانه‌های خودکار، همیشه قالب مورد انتظار را تأیید کنید.

    دام‌های رایج و حالت‌های لبه‌ای

    پلتفرم‌های مختلف اطلاعات تهدید از قراردادهای Defang کمی متفاوت استفاده می‌کنند؛ بنابراین یک ابزار Fang باید چندین سبک براکت‌گذاری را پشتیبانی کند. URLهایی با پورت‌های غیراستاندارد یا اطلاعات احراز هویت ممکن است به‌خوبی Defang نشوند. Defang کردن یک اقدام ایمنیِ ظاهری است و URL زیربنایی را پاک‌سازی یا اعتبارسنجی نمی‌کند — هنگام Fang کردن و واردکردن به پایپ‌لاین‌های خودکار، همیشه IoCهای Defang‌شده را ورودیِ غیرقابل‌اعتماد در نظر بگیرید.

    چه زمانی از این ابزار استفاده کنیم در برابر کُد

    برای Defang کردن دستیِ سریع هنگام نوشتن گزارش‌ها یا به‌اشتراک‌گذاری IoCها در چت، از این ابزار مرورگر استفاده کنید. برای پایپ‌لاین‌های خودکار اطلاعات تهدید، یک کتابخانه مانند iocextract یا defang (Python) را یکپارچه کنید یا یک ابزار ساده مبتنی بر regex را در زبان دلخواهتان بنویسید تا Defang کردن به‌صورت یکنواخت و برنامه‌وار روی تمام داده‌های IoC اعمال شود.