vAPI:一个自托管的OWASP Top 10漏洞API靶场

最新推荐文章于 2023-03-16 21:37:29 发布
最新推荐文章于 2023-03-16 21:37:29 发布
阅读量720 收藏
点赞数
文章标签: windows spring boot 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text202202/article/details/129050599
版权

关于vAPI

vAPI是一款针对OWASP Top
10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。

工具要求

PHP

MySQL

PostMan

Mitmproxy

工具安装

Docker安装

docker-compose up -d

手动安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/roottusk/vapi.git

cd <your-hosting-directory>

工具配置

数据库配置

将项目中提供的vapi.sql导入到你的MySQL数据库中,并在vapi/.env文件中配置数据库凭证。

开启MySQL服务

下列命令可以在Linux系统上开启MySQL服务:

service mysqld start

开启Laravel服务器

切换到vapi项目目录下,然后运行下列命令即可:

php artisan serve

配置Postman

我们有两种方式来配置Postman,直接将下列两个文件导入到Postman中:

vAPI.postman_collection.json

vAPI_ENV.postman_environment.json

或者直接使用Postman公共工作空间:【
传送门

工具使用

打开浏览器,然后访问“http://localhost/vapi/”。

发送请求后,即可在Postman中查看到请求和令牌内容。

工具部署

我们可以使用Helm来在一个kubernetes命名空间中部署和使用vAPI,此时需要使用下列参数选项值来完成配置:

DB_PASSWORD: <database password to use>

DB_USERNAME: <database username to use>

下面给出的是Helm的安装命令样例:

helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

注意:values.yaml文件第232行的“MYSQL_ROOT_PASSWORD”必须匹配第184行的内容,否则工具将无法正常执行。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

网安小工二狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈API安全的应用
Candour_0的博客
02-16 397
浅谈API安全的应用
靶场攻略 | 网络安全靶场合集
最新发布
Python_0011的博客
10-11 3293
1JAVA环境。
文件上传漏洞-uploadlabs靶场1~10关解析
黄乔国PHP
03-16 826
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
OWASP靶机安装
qq_43681802的博客
02-02 5482
渗透测试靶机系列–(webgoat安装) 文章目录渗透测试靶机系列--(webgoat安装)前言一、WEBGOAT是什么?二、安装步骤1.下载OWASP和vmware2.使用OWASP总结 前言 一、WEBGOAT是什么? WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参
Kali与编程:如何快速搭建OWASP网站安全实验靶场
Kali与编程
06-08 988
学网站安全没实验靶场,怎么办?我们强烈推荐OWASP,它是基础Ubuntu Linux搭建起来的靶机,里面包含DVWA、bWAPP等子靶场,安装一个靶场顶安装好几个!1.下载OWASP靶场 https://sourceforge.net/projects/owaspbwa/files/latest/download2.安装OWASP靶场 (1)扫描虚拟机 (2)定位到OWASP的下载路径【每个人不一样】 (3)扫描出可用虚拟机,点击完成,而后点击关闭 (4)点击开启虚拟机,开始配置图片: (5)按提示输入用
vapi:vAPI是易受攻击的反向编程接口,它是可自托管PHP接口,它模仿OWASP API练习中的前10个场景
04-30
vAPI vAPI是易受攻击的反向编程接口,它是可自托管PHP接口,它模仿练习中的OWASP API十大方案。要求阿帕奇服务器MySQL 邮差MITM代理安装(Docker) docker-compose up -d安装(传统)复制代码cd < your> git clone ...
Vapi-DSL:流利的业务验证DSL
03-22
Vapi-DSL 流利的业务验证DSL
ValaSharp:Vala编译器,移植到C#
05-11
瓦拉·夏普 该项目旨在将现有的Vala编译器移植到C# ... 然后可以使用新制作的工具来改进原始(自托管)Vala编译器 该存储库包含用于Visual Studio Code的实验语言服务器,但尚不包含代码完成功能。
vuex-rest-api-一个帮助程序实用程序,可简化REST API与Vuex的结合使用。 基于axios。-Vue.js开发
05-27
vuex-rest-api一个帮助程序实用程序,可简化Vuex 2中REST API的使用。使用流行的HTTP客户端axios进行请求。 与websanova / v vuex-rest-api一起使用帮助程序实用程序,以简化REST API与Vuex 2的结合使用。使用流行的...
My-Spoj-Solutions:我在C ++中针对Spoj托管的一些问题的解决方案
04-06
我在C ++中针对Spoj托管的一些问题的解决方案 :laptop: 编码BUGLIFE 埃及披萨丽莎NFURY PT07Y TRT 地址BVAAN EKO LPIS 纽约10E PT07Z TWENDS 阿格罗夫CAM5 电动车MAIN12A ORDSUM23 里瓦尔斯ULM09 爱宝CODERE3 前脸...
owasp top10 2017 最新版
01-23
owasp top10 2017 最新版,包含与owasp top10 2013的对比,
OWASP Top 10 2017 中文版v1.0
11-30
OWASP Top 10 2017 中文版v1.0,介绍的很详细,中文版的,有详细的案例介绍,攻击实例和怎么防止。
bWAPP攻略
weixin_30480651的博客
04-22 1523
0x00、平台介绍 按照OWASP排序 0x01、A1-Injuction(注入) Low级别:不经过任何处理的接收用户数据 Medium级别:黑名单机制,转义了部分危险数据 High级别:全部转义,或者白名单机制 1.1HTML Injection-Reflected(GET,POST) Low: Payload: <a href=”https://www...
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 2万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
OWASP juice shop靶场闯关题解
smarthome_man的博客
02-12 3798
1、找到隐藏的记分板 /#/score-board 会直接跳转到计分板 2、登陆管理员账户 这里可以尝试用sql注入的方式进入管理员界面 1、无账号,无密码进入 ’ or 0=0 – 2、有账号,无密码进入 **admin@juice-sh.op'--** 3、xss攻击 在搜索框输入<iframe src=“javascript:alert(xss)”> 4、登陆管理员界面,并且不报错 在url输入administration即可 5、给商店⼀个毁灭性的零星反馈 修改页面代码,删除d
OWASP API安全Top 10
发现问题,面对问题,分析问题,解决问题,总结问题
12-18 1027
OWASP API安全Top 10的发布,第一次在公众视野中理清了API安全的常见问题类型,同时也从API生命周期管理、纵深防御的安全设计思想上,为API安全的综合治理提供了指导方向。当然,作为API安全的第一个版本,也会有它的不足,比如笔者认为API1与API5对问题成因的阐述,没有传统的Web安全中对水平越权、垂直越权的描述清晰,容易导致问题归类划分的混乱,但仍有理由相信,OWASP API安全Top 10对业界的重大意义,未来的版本发布更值得期待。
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2235
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证和会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...
OWASP_top_10漏洞的总结笔记
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&amp;Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
owasp top 10 渗透防御思路总结
LDF-Dicky的博客
03-19 5943
一、文件上传漏洞:防御:前端后台代码可以限制文件上传的后缀和大小,比如后台限制contenttype:plaint(mime)或后缀.txt   contentconposition(终极杀招:modsecurity:防止暴力破解,D盾Web查杀:网站后门查找工具、杀webshell,安全狗:云查杀,阿里云盾:WAF),最小权限运行Web服务,读写权限分离攻击:前端的可以通过burpsuite、f...
Vulhub靶场-Apache APISIX‘s Admin API default access token vulnerability
ad12456的博客
05-16 785
Apache APISIX's Admin 网关 默认 Token 漏洞 1 、Apache APISIX 组件介绍 Apache APISIX 是一个动态、实时的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。 2 、漏洞描述 在Apache APISIX中,用户启用了Admin API并删除了Admin API访问IP限制规则。允许攻击者可在默认情况下,利用默认配置,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值