元数据：进入企业的隐藏的钥匙

　　在这里，元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置，而且还包含准确的时间戳，以及硬件信息。对于文档(从PDF到PPT)中的元数据，攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

　　了解元数据是很重要的，因为在侦察阶段，攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年，有人代表Anonymous上传了1.2GB torrent文件，让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现，这些机构的文档并没有被偷窃，只是使用FOCA收集的文档信息。

　　在属于美国商会的文档集中，有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据，发现了293个名称，其中大部分是网络ID。虽然只有23个电子邮件地址泄露，但其实攻击者可以轻松获取其他地址，因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。

　　在软件方面，美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称，但鉴于很多企业仍然在使用传统软件，这也是攻击者的宝贵数据。

　　同样重要的是IP地址，以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新，但大量这种信息可以作为攻击企业的起点。

　　FOCA可以帮助企业发现元数据，还有很多可用资源可帮助企业管理和删除元数据。