蜜罐：

​ http://hfish.net/

测试系统：ubantu 20.04

一键安装：

bash <(curl -sS -L https://hfish.net/webinstall.sh)

有害影响：用来钓鱼或者诱惑测试人员的防护系统

堡垒机

https://www.jumpserver.org/

测试系统：ubantu 20.04

一键安装：

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/down/latest/download/quick_start.sh |bash

有利影响：web应用或其他应用提供给测试人员一个能获取到价值信息的系统

API接口

api是一个允许不同软件应用程序之间进行通信和数据交换的接口。api定义了一组规则和协议，软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。

1、web api

通过HTTP协议进行通信的api，常用于web服务和应用程序。

例如：restful api、graphql api

2、库和框架 api

提供特定编程语言或框架功能的api，供开发者在应用程序中使用。

例如，java api、python 标准库。

3、操作系统 api

提供操作系统功能访问的api

例如，windows api、posix api。

4、远程 api

允许在网络上远程访问服务的API。

例如，SOAP API、XML-RPC API。

​ 例子：

​ 1、内部API：

​ 比如我自己开发了一个收银系统，使用API接口可以查询到顾客数据，收入支付，销售提成等

​ 2、外部API：

​ 比如我自己搭建了一个网站应用，功能需求有要借助到外部的资源，如地图，归属地，短信收发等

​ 有利影响：

​ 内部API：

​ Web应用提供给测试人员一个能获取到价值信息的接口

​ 外部API：

​ 可以借助提供的API获取到当前网站不想让你获取的信息

​ 分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等，根据这些信息可以进行接口枚举和参数枚举，进而可以进行相关的漏洞测试。

​ #拓展应用：防火墙 消息队列 分布式等

​ ActiveMQ Redis Memcache Jenkins等漏洞

​ https://mp.weixin.qq.com/s/SEjxrUgiIIK2bveSBz6mTg

​ https://www.yuque.com/u25571586/dyaqbugs?# 密码：xnzx

​ 有利影响：搭建越多应用即方便了运维也提供给测试人员更多机会