Web額外配置(二)(小迪網路安全筆記~

19999er發表於2024-12-04

附:完整筆記目錄~
ps:本人小白,筆記均在個人理解基礎上整理,若有錯誤歡迎指正!

1.1.4 Web額外配置(二)

  1. 引子:本篇繼續介紹一些Web服務常用的額外配置,如堡壘機、蜜罐、API等。

  2. 堡壘機

    1. 概念:從運維者角度而言,透過堡壘機可實現對企業各裝置的集中管理和許可權分配,提升運維效率。從安全的角度而言,透過堡壘機可記錄運維者操作並進行操作審計。

    2. 影響:幾乎所有的硬體裝置都會有其Web管理頁面,包括但不限於堡壘機、防火牆、路由器等。若其Web頁面存在漏洞,攻擊者是不是可以順勢拿到這些硬體裝置的許可權呢。

    3. image-20241122233834926

  3. 蜜罐

    1. 概念:透過模擬真實服務/系統來吸引攻擊者。一旦攻擊者攻擊模擬系統,蜜罐會監控攻擊者行為、定位攻擊者ip、甚至實現對攻擊機的反制。
    2. 影響:在網路攻防中,防禦方往往透過蜜罐部署模擬服務來干擾攻擊者判斷,誘騙攻擊者攻擊,以達到對攻擊者更有效地朔源反制。
  4. API

    1. 概念:以Http協議為基礎,常用於Web應用與伺服器、資料庫、第三方服務間的資料交換與功能呼叫。
    2. 影響:JS/Swagger造成的API介面洩露,開發者往往透過API介面對Web應用進行測試,攻擊者也可透過測試洩露的API介面獲取敏感資訊。
  5. 實驗:伺服器部署開源蜜罐HFish,並使用其模擬海康攝像頭業務系統。

    作為攻擊者,使用burp爆破該業務系統的登入框。作為防禦者,透過蜜罐觀察分析攻擊者行為。

    1. 伺服器部署HFish並模擬海康攝像頭

      bash <(curl -sS -L https://hfish.net/webinstall.sh)
      # 安裝完成後訪問:https://ip:4433/web/
      

      image-20241123120742750

    2. 訪問海康攝像頭服務,登入框,抓包使用burp爆破

      test

    3. 觀察蜜罐管理頁面

      image-20241123122524364

    4. 實驗結束

相關文章