VulnCheck Target Intelligence는 취약한 소프트웨어를 실행 중인 것으로 확인된 인터넷 공개 호스트의 지속적으로 업데이트되는 인덱스입니다. 잠재적으로 취약한 호스트를 식별하는 기존 인터넷 스캐너와 달리, Target Intelligence는 핑거프린팅 및 버전 탐지 기술을 적용하여 높은 신뢰도로 취약한 호스트를 식별한 후 해당 결과를 CVE에 직접 매핑합니다.
이를 통해 Target Intelligence는 1차 트리아지 도구로 활용될 수 있습니다. 공격자가 악용하기 전에 "현재 이 CVE의 실제 공격 대상 목록에 포함된 인터넷상의 호스트는 무엇인가?" 라는 질문에 답할 수 있습니다.
Base URL
https://api.vulncheck.com/v3/index/target-intel
인증
모든 요청에는 Authorization 헤더에 Bearer 토큰이 필요합니다.
Authorization: Bearer <your_api_token>
매개변수는 조합하여 사용할 수 있습니다. 모든 매개변수는 선택 사항이지만, 의미 있는 결과를 얻으려면 최소 하나 이상 제공하는 것이 좋습니다.
| Parameter | Type | Description |
|---|---|---|
cidr | string | 서브넷 조회를 위한 CIDR 범위입니다. 단일 호스트의 경우 /32를 사용합니다 (예: 203.0.113.42/32) |
hostname | string | 스캔 시점의 DNS 조회를 통해 얻은 호스트명 |
cve | string | 확인된 모든 취약 호스트를 조회하기 위한 CVE ID (예: CVE-2024-21887) |
vendor | string | 소프트웨어 공급업체 이름 |
product | string | 소프트웨어 제품 이름 |
version | string | 소프트웨어 버전 문자열 |
cpe | string | 전체 CPE 문자열 |
asn | string | Autonomous System Number (예: AS15169) |
country_code | string | ISO 3166-1 alpha-2 국가 코드 (예: US, DE) |
port | integer | TCP 포트 번호 |
contains_cve | boolean | true인 경우, 핑거프린트된 서비스와 연관된 CVE가 존재하는 호스트만 반환합니다 |
limit | integer | 페이지당 반환할 최대 결과 수 |
vendor, product, version에 대한 참고: 이 매개변수들은 어떤 조합으로도 사용할 수 있습니다. vendor만 또는 version만으로도 조회할 수 있지만 결과 범위가 매우 넓어질 수 있습니다. 두 개 이상을 조합하면 보다 구체적인 결과를 얻을 수 있습니다.
각 결과는 단일 호스트-포트-서비스 조합을 나타냅니다. 결과는 JSON 배열로 반환됩니다.
| Field | Type | Always Present | Description |
|---|---|---|---|
ip | string | Yes | 관찰된 호스트의 IPv4 주소 |
port | integer | Yes | 서비스가 관찰된 TCP 포트 |
type | string | Yes | 서비스 분류 (예: http, ssh) |
protocol | string | Yes | 전송 프로토콜 (일반적으로 tcp) |
cpe | string | Yes | 핑거프린팅을 통해 도출된 CPE 문자열 |
asn | string | Yes | Autonomous System Number |
country | string | Yes | 국가명 |
country_code | string | Yes | ISO 3166-1 alpha-2 국가 코드 |
cve | array | null | Conditional |
fingerprint_metadata | object | Yes | 핑거프린팅 과정에서 수집된 키-값 메타데이터 — 아래 참조 |
fingerprint_metadata Object| Field | Type | Description |
|---|---|---|
rule_source | string | 해당 결과의 신뢰도 등급입니다. 값은 confirmed 또는 likely입니다. confirmed는 버전 수준의 정확한 식별을 의미하며, likely는 동작 특성 또는 간접적인 신호를 기반으로 한 높은 가능성을 의미합니다 |
| Additional fields | string | 가변적입니다. 공급업체, 제품명, 버전, 탐지된 서비스 배너 및 기타 보강 정보가 포함될 수 있으며, 이는 핑거프린트가 수집한 정보에 따라 달라집니다 |
curl -H "Authorization: Bearer <token>" \
"https://api.vulncheck.com/v3/index/target-intel?cidr=203.0.113.42/32"
curl -H "Authorization: Bearer <token>" \
"https://api.vulncheck.com/v3/index/target-intel?cve=CVE-2024-21887"
curl -H "Authorization: Bearer <token>" \
"https://api.vulncheck.com/v3/index/target-intel?vendor=ivanti&product=connect+secure"
curl -H "Authorization: Bearer <token>" \
"https://api.vulncheck.com/v3/index/target-intel?cve=CVE-2024-21887&country_code=US"
{
"data": [
{
"ip": "203.0.113.42",
"port": 443,
"type": "https",
"protocol": "tcp",
"cpe": "cpe:2.3:a:ivanti:connect_secure:22.3.0:*:*:*:*:*:*:*",
"asn": "AS7922",
"country": "United States",
"country_code": "US",
"cve": ["CVE-2024-21887", "CVE-2023-46805"],
"fingerprint_metadata": {
"rule_source": "confirmed",
"vendor": "Ivanti",
"product": "Connect Secure",
"version": "22.3.0"
}
}
]
}
핑거프린트된 서비스와 연관된 CVE가 없는 경우 cve 필드는 null이 됩니다(빈 배열이 아님).
{
"ip": "198.51.100.7",
"port": 80,
"type": "http",
"protocol": "tcp",
"cpe": "cpe:2.3:a:apache:tomcat:10.1.0:*:*:*:*:*:*:*",
"asn": "AS16509",
"country": "Germany",
"country_code": "DE",
"cve": null,
"fingerprint_metadata": {
"rule_source": "likely",
"vendor": "Apache",
"product": "Tomcat",
"version": "10.1.0"
}
}
Target Intelligence는 스캔 데이터의 롤링 윈도우를 유지합니다. 새로운 스캔 결과가 수집됨에 따라 인덱스는 지속적으로 업데이트됩니다. 오래된 관찰 데이터는 데이터셋의 최신성과 운영상의 유용성을 유지하기 위해 순차적으로 만료됩니다.
각 레코드의 고유 키는 IP + port + fingerprint/service information 의 조합입니다. 호스트가 다시 스캔되면 해당 레코드는 최신 관찰 결과로 업데이트됩니다.
Target Intelligence가 제공하는 기능:
Target Intelligence가 제공하지 않는 기능:
조직과 연관된 호스트를 조회하려면 ASN, CIDR 범위 또는 알려진 IP 목록을 사용하여 쿼리하십시오.