基础准备
VAPI介绍
vAPI是一款针对OWASP Top 10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。
安装(Docker)
git clone https://github.com/roottusk/vapi.git
cd vapi/
docker-compose up -d
安装完成默认后访问 http://IP:80/vapi/ 即可访问 vAPI。
Postman配置
Postman是一个独立的软件测试API(应用程序编程接口)平台,用于构建,测试,设计,修改和记录API。 这是一个简单的图形用户界面,用于发送和查看HTTP请求和响应。 使用Postman进行测试时,不需要编写任何HTTP客户端网络代码。 相反,构建了称为集合的测试套件,并让Postman与API进行交互。
导入 Collection
vAPI 编写了专门的测试 Collection,可方便我们导入和后续的测试。打开 PostMan,在 My Wordspace 中点击 Import,切换到 Link 导入,将 vAPI 为我们编写好的 Collection 导入。
Collection 文件链接:
https://raw.githubusercontent.com/roottusk/vapi/master/postman/vAPI.postman_collection.json
设置 host
导入成功后,随意选择一个请求,将光标移动到 { {host}} 上,然后点击 Add new variable 为 host 设置地址为 vAPI-IP : Port,并将 Scope 作用域设置为 Collection VAPI。
笔者 vAPI 安装环境为 http://10.211.55.10:8081/vapi/,设置 host 为 10.211.55.10:8081
安装时注意问题
1. [Warning] IPv4 forwarding is disabled. Networking will not work.
没有开启流量转发,Docker 网桥配置后,需要开启流量转发,不然容器没有网络。
sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1 #添加此行配置
重启network服务
sudo systemctl restart network
2. 80端口被占用
vAPI默认绑定主机80、3306、8001端口,分别对应HTTP,MySQL,PHPMyAdmin,如果出现占用,需要修改 docker-compose.yml 文件中对应端口,如果能正常启动则无需修改。
version: "3.1"
services:
www:
build: .
ports:
- "80:80" # 可修改为8081:80