知识点：
1、基础入门-Web应用-蜜罐系统
2、基础入门-Web应用-堡垒机运维
3、基础入门-Web应用-内外API接口
4、基础入门-Web应用-第三方拓展架构

一、演示案例-Web-拓展应用-蜜罐-钓鱼诱使

蜜罐：https://hfish.net/
测试系统：Ubuntu 20.04
一键安装：bash <(curl -sS -L https://hfish.net/webinstall.sh)
有害影响：用来钓鱼或诱惑测试人员的防护系统

二、演示案例-Web-拓展应用-堡垒机-突破口

堡垒机：https://www.jumpserver.org/

测试系统：Ubuntu 20.04

有利影响：可以理解为一个资产管理平台，当攻击者拿下堡垒机权限，那堡垒机上面的所有资产不就也拿下了

一键安装：curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

API_27">三、演示案例-Web-拓展应用-API接口-突破口

API接口：是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议，软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。

1、Web API:
通过HTTP协议进行通信的API，常用于Web服务和应用程序。
例如，RESTful API、GraphQL API。

2、库和框架API:
提供特定编程语言或框架功能的API，供开发者在应用程序中使用。
例如，Java API、Python标准库。

3、操作系统API:
提供操作系统功能访问的API。
例如，Windows API、POSIX API。

4、远程API:
允许在网络上远程访问服务的API。
例如，SOAP API、XML-RPC API。

例子：
内部API：比如我自己开发了一个收银系统，使用API接口可以查询到顾客数据，收入支付，销售提成等
外部API：比如我自己搭建了一个网站应用，功能需求有要借助到外部的资源，如地图，归属地，短信收发等

有利影响：
内部API：Web应用提供给测试人员一个能获取到价值信息的接口
外部API：可以借助提供的API获取到当前网站不想让你获取的信息
分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等，
根据这些信息可以进行接口枚举和参数枚举，进而可以进行相关的漏洞测试。

Web-拓展应用-其他架构-突破口
拓展应用：防火墙 消息队列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
有利影响：搭建越多应用即方便了运维也提供给测试人员更多机会

四、演示案例-Web-拓展应用-其他架构-突破口

拓展应用：防火墙 消息队列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
https://www.yuque.com/u25571586/dyaqbugs?# 密码：xnzx //HW漏洞库
有利影响：搭建越多应用即方便了运维也提供给测试人员更多机会