2024小迪安全基础入门第四课
目录
Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响
堡垒机的核心功能
堡垒机的优势
API的结构
Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响
蜜罐(Honeypot)是一种网络安全技术,通过模拟真实的网络或系统环境,引诱攻击者访问,以监控其、行为记录攻击技术、识别威胁来源,从而提升防御能力。蜜罐既可以用于研究攻击手法,也可以作为防御策略的一部分,帮助保护真实的网络资源。 攻击诱捕
-
吸引攻击者,将他们引导至虚假的目标。
-
减少对真实系统的威胁。
威胁情报
-
收集攻击模式、工具和行为。
-
提供恶意IP地址、域名等威胁指标。
安全分析
-
帮助了解攻击者的目标和动机。
-
研究零日漏洞的利用方式。
误导攻击者
-
延缓攻击速度,争取响应时间。
-
混淆攻击者,使其难以识别真实目标。
#蜜罐:反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
测试系统:Ubuntu 20.04
一键安装:bash <(curl -sS -L https://hfish.net/webinstall.sh)
有害影响:用来钓鱼或诱惑测试人员的防护系统
堡垒机(Jump Server或Bastion Host)是网络安全中的一种关键设备,主要用于集中管理和控制企业或组织的内部服务器、设备及用户访问行为。通过堡垒机,可以记录用户的操作日志,审计行为,并提供权限管理和双重认证,从而增强整体的安全性。
堡垒机的核心功能
-
集中管理
-
集中管理企业内多台服务器、网络设备、数据库等资源。
-
提供统一的登录入口,用户无需直接访问目标设备。
-
-
权限控制
-
基于角色和用户定义不同的访问权限。
-
控制用户对目标设备的命令操作权限。
-
-
身份认证
-
支持多种身份认证方式,如用户名密码、双因素认证(2FA)、LDAP、AD等。
-
-
操作审计
-
实时监控用户操作,记录所有访问行为,包括登录、命令执行等。
-
提供回放功能,用于复现用户的操作步骤。
-
-
风险隔离
-
隔离外部和内部网络,减少直接暴露的攻击面。
-
限制高危命令和非授权访问。
-
-
双向代理
-
提供中间代理功能,隐藏真实的服务器IP和端口,避免直接访问。
-
-
日志与报告
-
自动生成访问日志和安全审计报告。
-
可对异常行为设置告警规则。
-
堡垒机的优势
-
安全性
-
通过统一登录和权限管理,减少暴露在互联网上的服务器数量。
-
防止未授权的用户直接访问内部资源。
-
-
合规性
-
通过操作记录和审计功能,帮助企业满足法规要求(如GDPR、ISO 27001等)。
-
-
易于管理
-
集中化管理,简化对多台设备和用户的权限管理流程。
-
-
威胁响应
-
提供实时告警和日志,快速定位异常行为。
-
#堡垒机:JumpServer - 开源堡垒机 - 官网
测试系统:Ubuntu 20.04
一键安装:curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh 1| bash
有利影响:Web应用或其他应用提供给测试人员一个能获取到价值信息的系统
API接口(Application Programming Interface,应用程序编程接口)是一种允许不同软件系统或组件之间相互通信的工具或协议。API接口通常定义了一组规则,开发者可以通过这些规则向应用程序发送请求并获取数据或执行某些功能。
API的结构
-
URL或端点(Endpoint):API的访问地址。
-
方法(Method):
常用HTTP方法:
-
GET:读取数据。 -
POST:创建数据。 -
PUT:更新数据。 -
DELETE:删除数据。
-
-
参数(Parameters):
-
路径参数:嵌在URL中,如
/api/user/{id}。 -
查询参数:附加在URL后面,如
?key=value。 -
请求体(Request Body):POST或PUT方法中传递的JSON、XML等数据。
-
-
响应(Response):
-
状态码(如
200 OK、404 Not Found)。 -
返回数据(通常是JSON或XML格式)。
-
#API接口:是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议,软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。
/v1/api
/v2/api
查询用户信息
/api/userinfo
登录接口=爆破密码
用户信息=枚举其他用户信息
文件上传=上传后门
票据交易=泄露敏感数据
查询文件信息
/api/fileinfo
1、Web API:
通过HTTP协议进行通信的API,常用于Web服务和应用程序。
例如,RESTful API、GraphQL API。
2、库和框架API:
提供特定编程语言或框架功能的API,供开发者在应用程序中使用。
例如,Java API、Python标准库。
3、操作系统API:
提供操作系统功能访问的API。
例如,Windows API、POSIX API。
4、远程API:
允许在网络上远程访问服务的API。
例如,SOAP API、XML-RPC API。
例子:
内部API:比如我自己开发了一个收银系统,使用API接口可以查询到顾客数据,收入支付,销售提成等
外部API:比如我自己搭建了一个网站应用,功能需求有要借助到外部的资源,如地图,归属地,短信收发等
有利影响:
内部API:Web应用提供给测试人员一个能获取到价值信息的接口
外部API:可以借助提供的API获取到当前网站不想让你获取的信息
分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等,
根据这些信息可以进行接口枚举和参数枚举,进而可以进行相关的漏洞测试。
#拓展应用:防火墙 消息队列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
WEB架构设计
有利影响:搭建越多应用即方便了运维也提供给测试人员更多机会
相关文章:
2024小迪安全基础入门第四课
目录 Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响 堡垒机的核心功能 堡垒机的优势 API的结构 Web应用&蜜罐系统&堡垒机运维&API内外接口&第三方拓展架构&部署影响 蜜罐(Honeypot)是…...
一文详解使用java easyexcel导出文件的几种情况
情况一:简单的导出指定类型文档,不要求格式 filePath-文件路径// 设置响应头response.setContentType("application/octet-stream");// 字符集处理,确保文件名的正确显示response.setHeader("Content-Disposition","…...
【蓝桥杯C/C++】深入解析I/O高效性能优化:std::ios::sync_with_stdio(false)
博客主页: [小ᶻZ࿆] 本文专栏: 蓝桥杯C/C 文章目录 💯前言💯C 语言与 C 语言的输入输出对比1.1 C 语言的输入输出1.2 C 语言的输入输出 💯 std::ios::sync_with_stdio(false) 的作用与意义2.1 什么是 std::ios::sync_with_st…...
NUXT3学习日记四(路由中间件、导航守卫)
前言 在 Nuxt 3 中,中间件(Middleware)是用于在页面渲染之前或导航发生之前执行的函数。它们允许你在路由切换时执行逻辑,像是身份验证、重定向、权限控制、数据预加载等任务。中间件可以被全局使用,也可以只在特定页…...
数据科学与SQL:组距分组分析 | 区间分布问题
目录 0 问题描述 1 数据准备 2 问题分析 3 小结 0 问题描述 绝对值分布分析也可以理解为组距分组分析。对于某个指标而言,一个记录对应的指标值的绝对值,肯定落在所有指标值的绝对值的最小值和最大值构成的区间内,根据一定的算法&#x…...
odoo18中模型的常用字段类型
字段的公共属性: Char 字符类型,对应数据库中varchar类型,除了通用类型外接收另外两个参数: size: 字符长度,超出的长度将被截断 trim: 默认True,是否字段值应该被去空白。 Text 文本类型,对应数据库…...
【如何用更少的数据作出更好的决策】-gpt生成
如何用更少的数据作出更好的决策 用更少的数据作出更好的决策是一种能力的体现,需要结合有效的方法、严谨的逻辑以及对问题的深刻理解。以下是一些可以帮助你实现这一目标的策略: 明确目标 在收集和分析数据之前,先明确你的决策目标是什么…...
ara::com 与 AUTOSAR 元模型的关系总结
原文链接:AUTOSAR_EXP_ARAComAPI的7章笔记(6) 整体说明 先是表明此前解释 ara::com API 思想和机制时未涉及具体 AP 元模型清单部分,本章旨在阐明 ara::com 与相关元模型部分的关系,且是较高层次的基本理解性介绍&am…...
springboot整合hive
springboot整合hive pom.xml <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation"http://maven.…...
浅谈 proxy
应用场景 Vue2采用的defineProperty去实现数据绑定,Vue3则改为Proxy,遇到了什么问题? - 在Vue2中不能检测数组和对象的变化 1. 无法检测 对象property 的添加或移除 var vm new Vue({data:{a:1} })// vm.a 是响应式的vm.b 2 // vm.b 是…...
Ansys Maxwell:SheetScan - 导入材料特性曲线
你好, 在这篇博文中,我展示了如何使用 Ansys Maxwell“SheetScan”工具导入材料特性数据集。在这篇博文中,我展示了如何导入复杂磁导率实部数据集以用于涡流(频率相关)求解器,并以 Ferroxcube 磁芯材料规格…...
解决 Android 单元测试 No tests found for given includes:
问题 报错: Execution failed for task :testDebugUnitTest. > No tests found for given includes: 解决方案 1、一开始以为是没有给测试类加public修饰 2、然后替换 Test 注解的包可以解决,将 org.junit.jupiter.api.Test 修改为 org.junit.Tes…...
人工智能的核心思想-神经网络
神经网络原理 引言 在理解ChatGPT之前,我们需要从神经网络开始,了解最简单的“鹦鹉学舌”是如何实现的。神经网络是人工智能领域的基础,它模仿了人脑神经元的结构和功能,通过学习和训练来解决复杂的任务。本文将详细介绍神经网络…...
JAVA中的Lamda表达式
JAVA中的Lamda表达式 Lambda 表达式的语法使用场景示例代码1.代替匿名内部类2. 带参数的 Lambda 表达式3. 与集合框架结合使用4. 使用 Stream 操作 总结 Java 的 Lambda 表达式是 Java 8 引入的一个新特性,用于简化代码,特别是在处理函数式编程时。Lambd…...
锂电池学习笔记(一) 初识锂电池
前言 锂电池近几年一直都是很热门的产品,充放电管理更是学问蛮多,工作生活中难免会碰到,所以说学习锂电池是工程师的必备知识储备,今天学习锂电池的基本知识,分类,优缺点,循序渐进 学习参考 【…...
深度学习2
四、tensor常见操作 1、元素值 1.1、获取元素值 tensor.item() 返回tensor的元素;只能在一个元素值使用,多个报错,当存在多个元素值时需要使用索引进行获取到一个元素值时在使用 item。 1.2、元素值运算 tensor对元素值的运算:…...
第六节-AppScan扫描报告
第六节-AppScan扫描报告 1.加载扫描结果 1.点击【打开】 2.选择之前保存过的扫描结果 3.等待加载完成 2.领导查看的报告 1.点击【报告】 2.模板选择为【缺省值】 3.最低严重性选择为【中】,测试类型选择为【应用程序】 4.点击【布局】 5.选择【其他徽标】&#x…...
【c++丨STL】stack和queue的使用及模拟实现
🌟🌟作者主页:ephemerals__ 🌟🌟所属专栏:C、STL 目录 前言 一、什么是容器适配器 二、stack的使用及模拟实现 1. stack的使用 empty size top push和pop swap 2. stack的模拟实现 三、queue的…...
基于SpringBoot的在线教育系统【附源码】
基于SpringBoot的在线教育系统 效果如下: 系统登录页面 系统管理员主页面 课程管理页面 课程分类管理页面 用户主页面 系统主页面 研究背景 随着互联网技术的飞速发展,线上教育已成为现代教育的重要组成部分。在线教育系统以其灵活的学习时间和地点&a…...
Kafka-副本分配策略
一、上下文 《Kafka-创建topic源码》我们大致分析了topic创建的流程,为了保持它的完整性和清晰度。细节并没有展开分析。下面我们就来分析下副本的分配策略以及副本中的leader角色的确定逻辑。当有了副本分配策略,才会得到分区对应的broker,…...
<6>-MySQL表的增删查改
目录 一,create(创建表) 二,retrieve(查询表) 1,select列 2,where条件 三,update(更新表) 四,delete(删除表…...
【解密LSTM、GRU如何解决传统RNN梯度消失问题】
解密LSTM与GRU:如何让RNN变得更聪明? 在深度学习的世界里,循环神经网络(RNN)以其卓越的序列数据处理能力广泛应用于自然语言处理、时间序列预测等领域。然而,传统RNN存在的一个严重问题——梯度消失&#…...
高频面试之3Zookeeper
高频面试之3Zookeeper 文章目录 高频面试之3Zookeeper3.1 常用命令3.2 选举机制3.3 Zookeeper符合法则中哪两个?3.4 Zookeeper脑裂3.5 Zookeeper用来干嘛了 3.1 常用命令 ls、get、create、delete、deleteall3.2 选举机制 半数机制(过半机制࿰…...
QT: `long long` 类型转换为 `QString` 2025.6.5
在 Qt 中,将 long long 类型转换为 QString 可以通过以下两种常用方法实现: 方法 1:使用 QString::number() 直接调用 QString 的静态方法 number(),将数值转换为字符串: long long value 1234567890123456789LL; …...
的原因分类及对应排查方案)
JVM暂停(Stop-The-World,STW)的原因分类及对应排查方案
JVM暂停(Stop-The-World,STW)的完整原因分类及对应排查方案,结合JVM运行机制和常见故障场景整理而成: 一、GC相关暂停 1. 安全点(Safepoint)阻塞 现象:JVM暂停但无GC日志,日志显示No GCs detected。原因:JVM等待所有线程进入安全点(如…...
VM虚拟机网络配置(ubuntu24桥接模式):配置静态IP
编辑-虚拟网络编辑器-更改设置 选择桥接模式,然后找到相应的网卡(可以查看自己本机的网络连接) windows连接的网络点击查看属性 编辑虚拟机设置更改网络配置,选择刚才配置的桥接模式 静态ip设置: 我用的ubuntu24桌…...
使用Spring AI和MCP协议构建图片搜索服务
目录 使用Spring AI和MCP协议构建图片搜索服务 引言 技术栈概览 项目架构设计 架构图 服务端开发 1. 创建Spring Boot项目 2. 实现图片搜索工具 3. 配置传输模式 Stdio模式(本地调用) SSE模式(远程调用) 4. 注册工具提…...
JavaScript基础-API 和 Web API
在学习JavaScript的过程中,理解API(应用程序接口)和Web API的概念及其应用是非常重要的。这些工具极大地扩展了JavaScript的功能,使得开发者能够创建出功能丰富、交互性强的Web应用程序。本文将深入探讨JavaScript中的API与Web AP…...
GitFlow 工作模式(详解)
今天再学项目的过程中遇到使用gitflow模式管理代码,因此进行学习并且发布关于gitflow的一些思考 Git与GitFlow模式 我们在写代码的时候通常会进行网上保存,无论是github还是gittee,都是一种基于git去保存代码的形式,这样保存代码…...
怎么让Comfyui导出的图像不包含工作流信息,
为了数据安全,让Comfyui导出的图像不包含工作流信息,导出的图像就不会拖到comfyui中加载出来工作流。 ComfyUI的目录下node.py 直接移除 pnginfo(推荐) 在 save_images 方法中,删除或注释掉所有与 metadata …...