知識點：
1、基礎入門-Web應用-蜜罐系統
2、基礎入門-Web應用-堡壘機運維
3、基礎入門-Web應用-內外API接口
4、基礎入門-Web應用-第三方拓展架構

一、演示案例-Web-拓展應用-蜜罐-釣魚誘使

蜜罐：https://hfish.net/
測試系統：Ubuntu 20.04
一鍵安裝：bash <(curl -sS -L https://hfish.net/webinstall.sh)
有害影響：用來釣魚或誘惑測試人員的防護系統

二、演示案例-Web-拓展應用-堡壘機-突破口

堡壘機：https://www.jumpserver.org/

測試系統：Ubuntu 20.04

有利影響：可以理解為一個資產管理平臺，當攻擊者拿下堡壘機權限，那堡壘機上面的所有資產不就也拿下了

一鍵安裝：curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

三、演示案例-Web-拓展應用-API接口-突破口

API接口：是一個允許不同軟件應用程序之間進行通信和數據交換的接口。API定義了一組規則和協議，軟件開發者可以使用這些規則和協議來訪問操作系統、庫、服務或其他應用程序的功能。

1、Web API:
通過HTTP協議進行通信的API，常用于Web服務和應用程序。
例如，RESTful API、GraphQL API。

2、庫和框架API:
提供特定編程語言或框架功能的API，供開發者在應用程序中使用。
例如，Java API、Python標準庫。

3、操作系統API:
提供操作系統功能訪問的API。
例如，Windows API、POSIX API。

4、遠程API:
允許在網絡上遠程訪問服務的API。
例如，SOAP API、XML-RPC API。

例子：
內部API：比如我自己開發了一個收銀系統，使用API接口可以查詢到顧客數據，收入支付，銷售提成等
外部API：比如我自己搭建了一個網站應用，功能需求有要借助到外部的資源，如地圖，歸屬地，短信收發等

有利影響：
內部API：Web應用提供給測試人員一個能獲取到價值信息的接口
外部API：可以借助提供的API獲取到當前網站不想讓你獲取的信息
分析API的目錄結構、接口命名規則、參數命名規則、功能和業務邏輯等，
根據這些信息可以進行接口枚舉和參數枚舉，進而可以進行相關的漏洞測試。

Web-拓展應用-其他架構-突破口
拓展應用：防火墻 消息隊列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
有利影響：搭建越多應用即方便了運維也提供給測試人員更多機會

四、演示案例-Web-拓展應用-其他架構-突破口

拓展應用：防火墻 消息隊列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
https://www.yuque.com/u25571586/dyaqbugs?# 密碼：xnzx //HW漏洞庫
有利影響：搭建越多應用即方便了運維也提供給測試人員更多機會