#知识点:
1、基础入门-Web应用-蜜罐系统
2、基础入门-Web应用-堡垒机运维
3、基础入门-Web应用-内外API接口
4、基础入门-Web应用-第三方拓展架构
蜜罐:https://hfish.net/
测试系统:Ubuntu 20.04
一键安装:以root权限运行以下一键部署命令
bash
bash <(curl -sS -L https://hfish.net/webinstall.sh)安装时遇到问题:
无法直接使用sudo bash <(curl -sS -L https://hfish.net/webinstall.sh)
有害影响:用来钓鱼或诱惑测试人员的防护系统;用来钓鱼或诱惑测试人员的防护系统;分为诱捕型和反制型两种;可以诱使攻击者攻击,反制攻击者,浪费攻击者的时间;可以通过蜜罐分析攻击者的攻击手法,IP地址等信息;对渗透测试者不利;
出现场景:蜜罐一般出现在攻防演练、红蓝对抗中,在日常渗透测试中出现较少;
堡垒机:https://www.jumpserver.org/
测试系统:Ubuntu 20.04
一键安装:
bash
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash遇到报错:jms_web无法开启,端口冲突,没有解决,直接更换的服务器
有利影响:Web应用或其他应用提供给测试人员一个能获取到价值信息的系统;如果攻击者可以拿下堡垒机,则可以拿到其上管理的其他资产的权限,那么红队的渗透价值将放大,对红队发起攻击有利;
功能:应用的人员主要是运维人员,它是一个统一管理的资产管理平台,可以做账号密码的收发、存储,进而统一管理多个网站、数据库等;
补:像WAF、堡垒机、蜜罐,有时以硬件、软件的形式提供服务;但是有时也以网站的形式提供服务像(WAF雷池),我们可以通过网址url的形式访问管理到雷池安全设备,那么攻击者可以转化思路,以安全设备为突破口,发起对安全产品的攻击,从而绕路拿下目标;
API接口:
是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议,软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。
1、Web API:
通过HTTP协议进行通信的API,常用于Web服务和应用程序。
例如,RESTful API、GraphQL API。
2、库和框架API:
提供特定编程语言或框架功能的API,供开发者在应用程序中使用。
例如,Java API、Python标准库。
3、操作系统API:
提供操作系统功能访问的API。
例如,Windows API、POSIX API。
4、远程API:
允许在网络上远程访问服务的API。
例如,SOAP API、XML-RPC API。
例子:
内部API:比如我自己开发了一个收银系统,使用API接口可以查询到顾客数据,收入支付,销售提成等
外部API:比如我自己搭建了一个网站应用,功能需求有要借助到外部的资源,如地图,归属地,短信收发等
有利影响:
内部API:Web应用提供给测试人员一个能获取到价值信息的接口
外部API:可以借助提供的API获取到当前网站不想让你获取的信息
分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等,
根据这些信息可以进行接口枚举和参数枚举,进而可以进行相关的漏洞测试。
FOFA搜API:
拓展应用:防火墙 消息队列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
WEB架构设计一、架构演变
https://mp.weixin.qq.com/s/SEjxrUgiIIK2bveSBz6mTg
有利影响:搭建越多应用即方便了运维也提供给测试人员更多机会;应用越多,可能涉及的API,可用网址等越多,增加了攻击面的广度,增加攻击成功率;