基础入门-Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响

知识点:

1、基础入门-Web应用-蜜罐系统

2、基础入门-Web应用-堡垒机运维

3、基础入门-Web应用-内外API接口

4、基础入门-Web应用-第三方拓展架构

一、演示案例-Web-拓展应用-蜜罐-钓鱼诱使

蜜罐:https://hfish.net/

测试系统:Ubuntu 20.04

一键安装:bash <(curl -sS -L https://hfish.net/webinstall.sh)

有害影响:用来钓鱼或诱惑测试人员的防护系统



二、演示案例-Web-拓展应用-堡垒机-突破口

堡垒机:https://www.jumpserver.org/

测试系统:Ubuntu 20.04

有利影响:可以理解为一个资产管理平台,当攻击者拿下堡垒机权限,那堡垒机上面的所有资产不就也拿下了

一键安装:curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash



三、演示案例-Web-拓展应用-API接口-突破口

API接口:是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议,软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。

1、Web API:

通过HTTP协议进行通信的API,常用于Web服务和应用程序。

例如,RESTful API、GraphQL API。

2、库和框架API:

提供特定编程语言或框架功能的API,供开发者在应用程序中使用。

例如,Java API、Python标准库。

3、操作系统API:

提供操作系统功能访问的API。

例如,Windows API、POSIX API。

4、远程API:

允许在网络上远程访问服务的API。

例如,SOAP API、XML-RPC API。

例子:

内部API:比如我自己开发了一个收银系统,使用API接口可以查询到顾客数据,收入支付,销售提成等

外部API:比如我自己搭建了一个网站应用,功能需求有要借助到外部的资源,如地图,归属地,短信收发等

有利影响:

内部API:Web应用提供给测试人员一个能获取到价值信息的接口

外部API:可以借助提供的API获取到当前网站不想让你获取的信息

分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等,

根据这些信息可以进行接口枚举和参数枚举,进而可以进行相关的漏洞测试。

Web-拓展应用-其他架构-突破口

拓展应用:防火墙 消息队列 分布式等

ActiveMQ Redis Memcache Jenkins等漏洞

有利影响:搭建越多应用即方便了运维也提供给测试人员更多机会

四、演示案例-Web-拓展应用-其他架构-突破口

拓展应用:防火墙 消息队列 分布式等

ActiveMQ Redis Memcache Jenkins等漏洞
https://www.yuque.com/u25571586/dyaqbugs?# 密码:xnzx //HW漏洞库

有利影响:搭建越多应用即方便了运维也提供给测试人员更多机会

相关推荐
百锦再2 天前
服务器间接口安全问题的全面分析
运维·服务器·安全·api·jwt·token·net
Rose 使者14 天前
基站定位接口如何如何用PHP实现调用?
api·基站
小猴崽15 天前
腾讯云主动型云蜜罐技术解析:云原生威胁狩猎的革新实践(基于腾讯云开发者社区技术网页与行业实践)
蜜罐·主动型云蜜罐·云蜜罐
zandy101118 天前
嵌入式BI实战指南:通过衡石API/SDK深度集成数据分析能力
数据挖掘·数据分析·api·嵌入式bi·sdk工具
胖墩会武术18 天前
OpenAI API调用教程
python·openai·api
百锦再18 天前
自动打电话软件设计与实现
python·django·html·api·语音·打电话
栗子味清清20 天前
API 管理系统实践指南:监控、安全、性能全覆盖
安全·ai·ai作画·架构·api·数据安全
一个专注api接口开发的小白20 天前
亚马逊 API 实战:商品详情页实时数据采集接口开发与调用
前端·数据挖掘·api
tanshu-API喵喵君21 天前
全网手机二次放号查询API功能说明和Python调用示例
python·api·手机二次放号
羑悻的小杀马特21 天前
从信息孤岛到智能星云:学习助手编织高校学习生活的全维度互联网络
c++·学习·生活·api