蜜罐(Honeypot)
- 示例项目:HFish(https://hfish.net/)
- 测试系统:Ubuntu 20.04
- 一键安装:
bash <(curl -sS -L https://hfish.net/webinstall.sh)- 用途与影响:用于诱捕攻击者或钓鱼测试,能收集攻击样本与入侵行为;对测试人员而言可能误导或干扰真实测试路径(有害影响)。
堡垒机(JumpServer)
- 示例项目:JumpServer(https://www.jumpserver.org/)
- 测试系统:Ubuntu 20.04
- 一键安装:
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash- 用途与影响:为运维/测试人员提供统一堡垒访问入口,便于审计与权限控制;对测试人员有利,可作为获取有价值信息的授权入口(有利影响)。
API 接口(概述)
API(Application Programming Interface)定义了不同软件之间交互的规则与协议,用于访问功能或数据。
常见 API 类型
- Web API(HTTP):RESTful、GraphQL 等。
- 库/框架 API:语言或框架提供的函数与类(Java API、Python 标准库)。
- 操作系统 API:调用系统功能(Windows API、POSIX)。
- 远程 API:基于网络的远程访问(SOAP、XML-RPC)。
示例与区分
- 内部 API:仅在内网或受控环境使用(例如公司内部收银系统的客户/交易查询接口)。
- 外部 API:第三方提供的公开或受控接口(例如地图服务、短信接口)。
测试与利用价值
- 内部 API:可能暴露业务敏感数据,供测试人员发现价值点。
- 外部 API:可能泄露站点不希望外界获取的信息或可被滥用。
- 分析要点:接口目录、命名规则、参数格式、认证/鉴权机制、业务逻辑边界。通过这些信息可进行接口枚举、参数穷举与逻辑漏洞发现。
拓展应用(常见中间件与风险)
- 消息队列:ActiveMQ、RabbitMQ 等 —— 未授权访问、配置错误导致队列数据泄露或命令注入。
- 缓存/存储:Redis、Memcached、OSS 等 —— 未授权读写、凭证泄露导致敏感数据暴露或持久化问题。
- CI/CD 与自动化:Jenkins 等 —— 凭证泄露、脚本注入或任意构建触发导致持久后门或数据泄露。
参考与资料:
- 微信文章: https://mp.weixin.qq.com/s/SEjxrUgiIIK2bveSBz6mTg
- 语雀笔记(示例,含密码): https://www.yuque.com/u25571586/dyaqbugs?#(密码:xnzx)
总结与建议
- 搭建更多服务既方便运维也可能扩大攻击面:多服务环境为测试人员提供更多入口与利用链。
- 测试前识别目标与授权范围:明确哪些 API/中间件是有效目标,避免误操作或触发误报。
- 凭证与密钥管理:优先检查 AK/SK、数据库凭证、Jenkins 凭证、OSS 配置等是否暴露。
- 最小权限与审计:为服务开启最小权限、开启访问审计与告警,减少风险面并便于事后取证。