附:完整筆記目錄~
ps:本人小白,筆記均在個人理解基礎上整理,若有錯誤歡迎指正!
1.1.4 Web額外配置(二)
-
引子:本篇繼續介紹一些Web服務常用的額外配置,如堡壘機、蜜罐、API等。
-
堡壘機
-
概念:從運維者角度而言,透過堡壘機可實現對企業各裝置的集中管理和許可權分配,提升運維效率。從安全的角度而言,透過堡壘機可記錄運維者操作並進行操作審計。
-
影響:幾乎所有的硬體裝置都會有其Web管理頁面,包括但不限於堡壘機、防火牆、路由器等。若其Web頁面存在漏洞,攻擊者是不是可以順勢拿到這些硬體裝置的許可權呢。
-
例
-
-
蜜罐
- 概念:透過模擬真實服務/系統來吸引攻擊者。一旦攻擊者攻擊模擬系統,蜜罐會監控攻擊者行為、定位攻擊者ip、甚至實現對攻擊機的反制。
- 影響:在網路攻防中,防禦方往往透過蜜罐部署模擬服務來干擾攻擊者判斷,誘騙攻擊者攻擊,以達到對攻擊者更有效地朔源反制。
-
API
- 概念:以Http協議為基礎,常用於Web應用與伺服器、資料庫、第三方服務間的資料交換與功能呼叫。
- 影響:JS/Swagger造成的API介面洩露,開發者往往透過API介面對Web應用進行測試,攻擊者也可透過測試洩露的API介面獲取敏感資訊。
-
實驗:伺服器部署開源蜜罐HFish,並使用其模擬海康攝像頭業務系統。
作為攻擊者,使用burp爆破該業務系統的登入框。作為防禦者,透過蜜罐觀察分析攻擊者行為。
-
伺服器部署HFish並模擬海康攝像頭
bash <(curl -sS -L https://hfish.net/webinstall.sh) # 安裝完成後訪問:https://ip:4433/web/
-
訪問海康攝像頭服務,登入框,抓包使用burp爆破
-
觀察蜜罐管理頁面
-
實驗結束
-