Web额外配置（二）（小迪网络安全笔记~

附：完整笔记目录~
ps：本人小白，笔记均在个人理解基础上整理，若有错误欢迎指正！

1.1.4 Web额外配置（二）

1. 引子：本章继续介绍一些Web服务常用的额外配置，如堡垒机、蜜罐、API等。

2. 堡垒机

   1. 概念：从运维者角度而言，通过堡垒机可实现对企业各设备的集中管理和权限分配，提升运维效率。从安全的角度而言，通过堡垒机可记录运维者操作并进行操作审计。

   2. 影响：几乎所有的硬件设备都会有其Web管理页面，包括但不限于堡垒机、防火墙、路由器等。若其Web页面存在漏洞，攻击者是不是可以顺势拿到这些硬件设备的权限呢。

   3. 例

      

3. 蜜罐

   1. 概念：通过模拟真实服务/系统来吸引攻击者。一旦攻击者攻击模拟系统，蜜罐会监控攻击者行为、定位攻击者ip、甚至实现对攻击机的反制。
   2. 影响：在网络攻防中，防御方往往通过蜜罐部署模拟服务来干扰攻击者判断，诱骗攻击者攻击，以达到对攻击者更有效地朔源反制。

4. API

   1. 概念：以Http协议为基础，常用于Web应用与服务器、数据库、第三方服务间的数据交换与功能调用。
   2. 影响：JS/Swagger造成的API接口泄露，开发者往往通过API接口对Web应用进行测试，攻击者也可通过测试泄露的API接口获取敏感信息。

5. 实验：服务器部署开源蜜罐HFish，并使用其模拟海康摄像头业务系统。

   作为攻击者，使用burp爆破该业务系统的登录框。作为防御者，通过蜜罐观察分析攻击者行为。

   1. 服务器部署HFish并模拟海康摄像头

      bash <(curl -sS -L https://hfish.net/webinstall.sh)
      # 安装完成后访问：https://ip:4433/web/
      

      

   2. 访问海康摄像头服务，登录框，抓包使用burp爆破

      

   3. 观察蜜罐管理页面

      

   4. 实验结束