trappsec-dev/trappsec

 ## **trappsec** trappsec 是一个开源框架，旨在帮助开发者检测那些试图探测 API 业务逻辑的攻击者。通过嵌入难以与真实 API 结构区分的诱饵路由和蜜字段，诱导攻击者进行身份验证——从而将侦察行为转化为可操作的安全遥测数据。 [阅读文档](https://trappsec.dev/getting-started/) • [极简快速入门](https://trappsec.dev/ultra-quickstart/)
 ### 核心概念 * **Decoy Routes（诱饵路由）：** 这些是位于您的真实业务逻辑之外但看起来像真实接口的“幽灵”端点。通过在客户端代码中植入虚假引用，您可以诱使攻击者访问这些陷阱，从而允许您通过适应身份验证状态的自定义静态或动态响应来监控他们的行为。 * **Honey Fields（蜜字段）：** 嵌入在合法 API 端点中的非功能性参数，充当不可见的触发器。您可以通过将它们作为具有静态值的隐藏表单字段包含在内，或者利用 GET 响应中出现的现有“只读”属性作为蜜字段来诱捕攻击者，如果攻击者试图通过 POST 或 PUT 请求修改它们，就会触发警报。 * **Identity Attribution（身份归因）：** 框架的钩子允许您将请求与经过身份验证的用户身份关联起来。您还可以将陷阱映射到特定的**意图**（权限提升、侦察等）。结合起来，您将获得高保真警报，使安全团队能够更快速、更有效地做出响应。 ### 最佳实践 * **要求身份验证：** 在一个虽然大体无害但越来越多充满人和扫描器（主要是扫描器）到处乱碰不该碰的东西的互联网环境中，您肯定不想被噪音淹没。使用未经身份验证的模板响应（如 401, Unauthorized）来引导他们使用身份验证进行探测。 * **融入环境：** 陷阱应该看起来与您 API 的正常部分完全一样。一个好的陷阱应该看起来像是 API 中平凡、标准——甚至有些枯燥的部分。如果它看起来“好得令人难以置信”，攻击者就会忽略它。设计陷阱是为了抓住那些试图理解或操纵您业务逻辑的人。 ### 告警 trappsec 可以直接集成到您现有的工作流中。默认情况下，事件会写入您的标准日志处理器，但也可以配置为集成到 **OpenTelemetry** 以实现可观测性，或通过 **Webhooks** 触发自动化响应或通知安全团队。 ### 支持的框架

语言	框架
Python	Flask
	FastAPI
	Starlette
	Litestar
	Django
	Sanic
	Tornado
Node.js	Express
	NestJS
	Fastify
	Hapi
	Koa
Go	net/http
	Gin
	Echo

### 支持 社区支持可通过 GitHub issues 和 discussions 获取。 如需商业支持或服务，请发送电子邮件至 **nikhil@ftfy.co**。

标签：API安全, API监控, CISA项目, JSON输出, MITM代理, PFX证书, Web安全, XML 请求, 业务逻辑安全, 威胁情报, 安全开发, 密码管理, 开发安全, 开发者工具, 开源安全框架, 攻击检测, 日志审计, 欺骗技术, 用户代理, 网络侦察防御, 网络安全, 蓝队分析, 蜜罐, 证书利用, 身份归因, 逆向工具, 隐私保护, 高保真告警