vAPI-API漏洞靶场通关指南

已于 2022-05-06 23:35:14 修改
阅读量4k 收藏 10
点赞数 1
分类专栏: 原创 文章标签: postman 测试工具
于 2022-05-06 23:25:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaolin_ying/article/details/124621213
版权

基础准备

VAPI介绍

vAPI是一款针对OWASP Top 10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。

安装(Docker)

git clone https://github.com/roottusk/vapi.git
cd vapi/
docker-compose up -d

安装完成默认后访问 http://IP:80/vapi/ 即可访问 vAPI。

img

Postman配置

Postman是一个独立的软件测试API(应用程序编程接口)平台,用于构建,测试,设计,修改和记录API。 这是一个简单的图形用户界面,用于发送和查看HTTP请求和响应。 使用Postman进行测试时,不需要编写任何HTTP客户端网络代码。 相反,构建了称为集合的测试套件,并让Postman与API进行交互。

导入 Collection

vAPI 编写了专门的测试 Collection,可方便我们导入和后续的测试。打开 PostMan,在 My Wordspace 中点击 Import,切换到 Link 导入,将 vAPI 为我们编写好的 Collection 导入。

img

Collection 文件链接:

https://raw.githubusercontent.com/roottusk/vapi/master/postman/vAPI.postman_collection.json

设置 host

导入成功后,随意选择一个请求,将光标移动到 { {host}} 上,然后点击 Add new variable 为 host 设置地址为 vAPI-IP : Port,并将 Scope 作用域设置为 Collection VAPI。

笔者 vAPI 安装环境为 http://10.211.55.10:8081/vapi/,设置 host 为 10.211.55.10:8081

img

img

安装时注意问题

1. [Warning] IPv4 forwarding is disabled. Networking will not work.

没有开启流量转发,Docker 网桥配置后,需要开启流量转发,不然容器没有网络。

sudo vi /etc/sysctl.conf

net.ipv4.ip_forward=1    #添加此行配置

重启network服务

sudo systemctl restart network

2. 80端口被占用

vAPI默认绑定主机80、3306、8001端口,分别对应HTTP,MySQL,PHPMyAdmin,如果出现占用,需要修改 docker-compose.yml 文件中对应端口,如果能正常启动则无需修改。

version: "3.1"
services:
    www:
        build: .
        ports: 
            - "80:80"  # 可修改为8081:80
最低0.47元/天 解锁文章
逍遥哥G
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
api靶场学习记录
qq_45590470的博客
11-07 713
API靶场练习
Vulhub靶场-Apache APISIX‘s Admin API default access token vulnerability
ad12456的博客
05-16 784
Apache APISIX's Admin 网关 默认 Token 漏洞 1 、Apache APISIX 组件介绍 Apache APISIX 是一个动态、实时的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。 2 、漏洞描述 在Apache APISIX中,用户启用了Admin API并删除了Admin API访问IP限制规则。允许攻击者可在默认情况下,利用默认配置,...
vAPI:一个自托管的OWASP Top 10漏洞API靶场
二狗的博客
02-15 716
10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。注意:values.yaml文件第232行的“MYSQL_ROOT_PASSWORD”必须匹配第184行的内容,否则工具将无法正常执行。将项目中提供的vapi.sql导入到你的MySQL数据库中,并在vapi/.env文件中配置数据库凭证。如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。
vAPI靶场通关过程
王富贵同学的博客
08-01 485
vAPI靶场的渗透过程(复现版)
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
今天是几号的博客
10-09 2013
接口是后端设计的一套供给第三方使用的方法举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息输入相关参数进行调用API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等。
Day91:API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
最新发布
qq_61553520的博客
04-16 1453
小迪安全-Day91:API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
API安全漏洞靶场crapi的基本介绍与解题思路
stopys6的博客
09-19 302
本文主要介绍api安全漏洞相关基础知识介绍和靶场crapi的环境搭建以及前七题的解题过程。crapi是一个供车主注册和管理车辆的平台,是一个易受攻击的应用程序,crapi是一个用于学习和实践api安全性的api漏洞的集合。在这里可以遇到api安全的应用程序中的常见漏洞,基本包括OWASP API TOP 10的漏洞。比如失效的对象级别授权漏洞,失效的用户身份验证漏洞,过多的数据暴露漏洞,速率限制漏洞,失效的功能级别授权,批量分配,SSRF,注入以及未经身份验证的访问漏洞
API安全学习 - crAPI漏洞靶场API测试思路
好好睡觉
09-07 1971
crAPI靶场教程、API安全
docker服务器版搭建pikachu靶场
weixin_41826065的博客
12-07 1161
docker服务器搭建靶场
Vapi-DSL:流利的业务验证DSL
03-22
Vapi-DSL 流利的业务验证DSL
Python库 | url2vapi-1.1.tar.gz
03-11
python库。 资源全名:url2vapi-1.1.tar.gz
vuex-rest-api-一个帮助程序实用程序,可简化REST API与Vuex的结合使用。 基于axios。-Vue.js开发
05-27
vuex-rest-api一个帮助程序实用程序,可简化Vuex 2中REST API的使用。使用流行的HTTP客户端axios进行请求。 与websanova / v vuex-rest-api一起使用帮助程序实用程序,以简化REST API与Vuex 2的结合使用。使用流行的...
vapi:vAPI是易受攻击的反向编程接口,它是可自托管PHP接口,它模仿OWASP API练习中的前10个场景
04-30
vAPI vAPI是易受攻击的反向编程接口,它是可自托管PHP接口,它模仿练习中的OWASP API十大方案。要求阿帕奇服务器MySQL 邮差MITM代理安装(Docker) docker-compose up -d安装(传统)复制代码cd < your> git clone ...
My-Spoj-Solutions:我在C ++中针对Spoj托管的一些问题的解决方案
04-06
我在C ++中针对Spoj托管的一些问题的解决方案 :laptop: ...C 路径岩VAPI01 BABTWR DCEPC501 洒红节宝马普拉塔RPLB 沃霍维亚收益EC_P 旅馆混合物专业版STPAR 布林网埃迪斯IITWPC4I MKBUDGET 球拍淹没
[CTF]对支付软件的漏洞利用buyflag
网络安全知识分享
01-28 3445
对支付软件的漏洞利用 考点 安卓应用的简单逆向、反编译、patch、重打包 对安卓应用的通信流量进行抓取和分析 XXE漏洞及其利用 思路 首先patch掉禁用注册的源码 通过git泄露获得服务端web源码 源码审计 通过xxe漏洞获得key 利用key伪造交易信息给自己充值 step1 获取到apk 首先我拿到了一款支付软件的安装包,我们先在模拟器中安装好这个软件,我们发现这里的注册按钮是无法使用的,如下图: 这时,我们要利用移动端逆向的知识,patch掉禁用注册按钮的的代码 工具:apktool
靶场复现仅用于学习——支付漏洞
weixin_46601374的博客
03-28 9631
靶场复现,学习原理,维护安全,不准上升到现实!!!! 这就是个靶场,现在的网站那有这种漏洞。 快捷支付原理 商户网站接入支付结果有两种方式, 一种是通过浏览器进行跳转通知, 一种是服务器端异步通知 浏览器跳转 基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性 服务器端异步通知 该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参.
ServU漏洞利用靶场-单兵作战
Root__Liu的博客
03-22 4046
ServU漏洞利用靶场-单兵作战 1、进入靶场,查看题目,如下图所示: 2、单击服务器,可得到服务器IP地址,现在要做的就是使用可操作主机对目标服务器进行攻击,以得到falg. 3、任意进入一台可操作主机,登录密码为123456,进去之后如图所示, 4、打开命令提示符,使用ftp链接目标服务器,ftp 192.168.1.13,如图所示,使用匿名登录,用户名和密码都为匿名,即a
API安全漏洞靶场crapi的基本介绍与解题思路解析
S18374的博客
10-25 137
本文主要介绍api安全漏洞相关基础知识介绍和靶场crapi的环境搭建以及前七题的解题过程。crapi是一个供车主注册和管理车辆的平台,是一个易受攻击的应用程序,crapi是一个用于学习和实践api安全性的api漏洞的集合。在这里可以遇到api安全的应用程序中的常见漏洞,基本包括OWASP API TOP 10的漏洞。比如失效的对象级别授权漏洞,失效的用户身份验证漏洞,过多的数据暴露漏洞,速率限制漏洞,失效的功能级别授权,批量分配,SSRF,注入以及未经身份验证的访问漏洞
vulhub靶场学习日记hackme2
m0_55763479的博客
07-12 303
vulhub靶场学习日记hackme2
PiaolinPlatformV2.0.0 - 获取手机或电脑GPS位置信息(定位平台)
热门推荐
piaolin_ying的博客
01-11 4万+
PiaolinPlatformV2.0.0 - 获取手机或电脑GPS位置信息(定位平台) 前言 飘零定位平台于 2019/02/07 正式上线第一代(地址),上线后反响良好,每日都有新增用户,但由当时技术水平限制,后续运营难以接续以及平台扩展性还有待提升等问题,平台处于废弃状态。 因此本人于 2021/01/01 将平台从架构设计到技术栈进行了全新的重构,新平台使用了全新的架构模式,极大提高了平台扩展性,同时对用户界面进行了优化,与定位模块一同上线,感谢若依提供了框架工具。 更新内容 平台 全新UI体验,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值