2024小迪安全基础入门第四课

目录

Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响

堡垒机的核心功能

堡垒机的优势

API的结构

---

Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响

蜜罐（Honeypot）是一种网络安全技术，通过模拟真实的网络或系统环境，引诱攻击者访问，以监控其、行为记录攻击技术、识别威胁来源，从而提升防御能力。蜜罐既可以用于研究攻击手法，也可以作为防御策略的一部分，帮助保护真实的网络资源。 攻击诱捕

• 吸引攻击者，将他们引导至虚假的目标。

• 减少对真实系统的威胁。

威胁情报

• 收集攻击模式、工具和行为。

• 提供恶意IP地址、域名等威胁指标。

安全分析

• 帮助了解攻击者的目标和动机。

• 研究零日漏洞的利用方式。

误导攻击者

• 延缓攻击速度，争取响应时间。

• 混淆攻击者，使其难以识别真实目标。

#蜜罐：反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

测试系统：Ubuntu 20.04

一键安装：bash <(curl -sS -L https://hfish.net/webinstall.sh)

有害影响：用来钓鱼或诱惑测试人员的防护系统

堡垒机（Jump Server或Bastion Host）是网络安全中的一种关键设备，主要用于集中管理和控制企业或组织的内部服务器、设备及用户访问行为。通过堡垒机，可以记录用户的操作日志，审计行为，并提供权限管理和双重认证，从而增强整体的安全性。

堡垒机的核心功能

1. 集中管理

   • 集中管理企业内多台服务器、网络设备、数据库等资源。

   • 提供统一的登录入口，用户无需直接访问目标设备。

2. 权限控制

   • 基于角色和用户定义不同的访问权限。

   • 控制用户对目标设备的命令操作权限。

3. 身份认证

   • 支持多种身份认证方式，如用户名密码、双因素认证（2FA）、LDAP、AD等。

4. 操作审计

   • 实时监控用户操作，记录所有访问行为，包括登录、命令执行等。

   • 提供回放功能，用于复现用户的操作步骤。

5. 风险隔离

   • 隔离外部和内部网络，减少直接暴露的攻击面。

   • 限制高危命令和非授权访问。

6. 双向代理

   • 提供中间代理功能，隐藏真实的服务器IP和端口，避免直接访问。

7. 日志与报告

   • 自动生成访问日志和安全审计报告。

   • 可对异常行为设置告警规则。

堡垒机的优势

1. 安全性

   • 通过统一登录和权限管理，减少暴露在互联网上的服务器数量。

   • 防止未授权的用户直接访问内部资源。

2. 合规性

   • 通过操作记录和审计功能，帮助企业满足法规要求（如GDPR、ISO 27001等）。

3. 易于管理

   • 集中化管理，简化对多台设备和用户的权限管理流程。

4. 威胁响应

   • 提供实时告警和日志，快速定位异常行为。

#堡垒机：JumpServer - 开源堡垒机 - 官网

测试系统：Ubuntu 20.04

一键安装：curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh 1| bash

有利影响：Web应用或其他应用提供给测试人员一个能获取到价值信息的系统

API接口（Application Programming Interface，应用程序编程接口）是一种允许不同软件系统或组件之间相互通信的工具或协议。API接口通常定义了一组规则，开发者可以通过这些规则向应用程序发送请求并获取数据或执行某些功能。

API的结构

• URL或端点（Endpoint）：API的访问地址。

• 方法（Method）：

  常用HTTP方法：

  • GET：读取数据。

  • POST：创建数据。

  • PUT：更新数据。

  • DELETE：删除数据。

• 参数（Parameters）：

  • 路径参数：嵌在URL中，如/api/user/{id}。

  • 查询参数：附加在URL后面，如?key=value。

  • 请求体（Request Body）：POST或PUT方法中传递的JSON、XML等数据。

• 响应（Response）：

  • 状态码（如200 OK、404 Not Found）。

  • 返回数据（通常是JSON或XML格式）。

#API接口：是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议，软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。

/v1/api

/v2/api

查询用户信息

/api/userinfo

登录接口=爆破密码

用户信息=枚举其他用户信息

文件上传=上传后门

票据交易=泄露敏感数据

查询文件信息

/api/fileinfo

1、Web API:

通过HTTP协议进行通信的API，常用于Web服务和应用程序。

例如，RESTful API、GraphQL API。

2、库和框架API:

提供特定编程语言或框架功能的API，供开发者在应用程序中使用。

例如，Java API、Python标准库。

3、操作系统API:

提供操作系统功能访问的API。

例如，Windows API、POSIX API。

4、远程API:

允许在网络上远程访问服务的API。

例如，SOAP API、XML-RPC API。

例子：

内部API：比如我自己开发了一个收银系统，使用API接口可以查询到顾客数据，收入支付，销售提成等

外部API：比如我自己搭建了一个网站应用，功能需求有要借助到外部的资源，如地图，归属地，短信收发等

有利影响：

内部API：Web应用提供给测试人员一个能获取到价值信息的接口

外部API：可以借助提供的API获取到当前网站不想让你获取的信息

分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等，

根据这些信息可以进行接口枚举和参数枚举，进而可以进行相关的漏洞测试。

#拓展应用：防火墙 消息队列 分布式等

ActiveMQ Redis Memcache Jenkins等漏洞

WEB架构设计

有利影响：搭建越多应用即方便了运维也提供给测试人员更多机会