如何使用crAPI学习保护API的安全

已于 2023-10-14 16:41:28 修改
阅读量738 收藏
点赞数
分类专栏: web安全 安全 网络安全 文章标签: 学习 安全 docker
于 2023-03-01 22:29:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/129291402
版权
安全 同时被 3 个专栏收录
124 篇文章 0 订阅
订阅专栏
网络安全
124 篇文章 4 订阅
订阅专栏
web安全
123 篇文章 1 订阅
订阅专栏

关于crAPI

crAPI是一个针对API安全的学习和研究平台,在该工具的帮助下,广大研究人员可以轻松学习和了解排名前十的关键API安全风险。因此,crAPI在设计上故意遗留了大量安全漏洞,我们可以通过
crAPI学习和研究API安全。

crAPI采用了现代编程架构,该工具基于微服务架构构建,只需建立一个账号,即可开启我们的API安全研究之旅。

crAPI的挑战是让您尽可能多地发现和利用这些漏洞,破解crAPI有两种方法-
第一种是将其视为一个完整的黑盒测试,在那里你不知道方向,只是尝试从头开始理解应用程序并进行破解。第二种方法是先了解crAPI提供的漏洞,然后自己动手尝试去利用它们。

问题咨询和282G网络安全资源的领取点击此处

crAPI包含的漏洞

BOLA漏洞

错误的用户认证

过度数据暴露

频率限制

BFLA

批量赋值

SSRF

NoSQL注入

SQL注入

未经授权的访问

两个隐藏挑战

crAPI安装

Docker

Linux设备-最新稳定版:

curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml

 

docker-compose pull

 

docker-compose -f docker-compose.yml --compatibility up -d

Windows设备-最新稳定版:

curl.exe -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml

 

docker-compose pull

 

docker-compose -f docker-compose.yml --compatibility up -d

Vagrant

我们还可以在虚拟机中运行crAPI,这样可以保证crAPI的运行与系统隔离,此时我们需要安装Vagrant。

首先,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/OWASP/crAPI.git

接下来,开启crAPI虚拟机:

$ cd deploy/vagrant && vagrant up

最后,访问下列地址即可使用crAPI:

http://192.168.33.20

注意:所有的电子邮件都会发送至mailhog服务,可以访问http://192.168.33.20:8025进行查看。

当我们使用完crAPI之后,就可以使用下列命令将crAPI从系统中删除了:

$ cd deploy/vagrant && vagrant destroy

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

点击此处即可领取282G网络安全学习资料

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

点击此处即可领取282G网络安全学习资料

万天峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API安全漏洞靶场crapi的基本介绍与解题思路433
woshiyanfu的博客
09-28 83
本文主要介绍api安全漏洞相关基础知识介绍和靶场crapi的环境搭建以及前七题的解题过程。crapi是一个供车主注册和管理车辆的平台,是一个易受攻击的应用程序,crapi是一个用于学习和实践api安全性的api漏洞的集合。在这里可以遇到api安全的应用程序中的常见漏洞,基本包括OWASP API TOP 10的漏洞。比如失效的对象级别授权漏洞,失效的用户身份验证漏洞,过多的数据暴露漏洞,速率限制漏洞,失效的功能级别授权,批量分配,SSRF,注入以及未经身份验证的访问漏洞。
api靶场学习记录
qq_45590470的博客
11-07 724
API靶场练习
crAPI:完全荒谬的APIcrAPI
05-09
crAPI çompletely [R idiculous APIcrAPI)将帮助你了解的十个最关键的API安全隐患。 crAPI在设计上很容易受到攻击,但是您可以安全地运行它来进行教育/培训。 crAPI是现代的,建立在微服务架构之上。 买了第一辆汽车的时间到了,注册一个帐户,开始您的旅程。 要了解有关crAPI的更多信息,请查看。 快速入门指南 码头工人 您需要在主机系统上安装并运行Docker。 运行crAPI后,您可能要删除遗留的不必要的docker映像。 克隆crAPI存储库$ git clone [REPOSITORY-URL] 构建所有Docker映像$ deploy/docker/build-all.sh 启动crAPI $ docker-compose -f deploy/docker/docker-compose.yml --compatibility up
API安全学习 - crAPI漏洞靶场与API测试思路
A_991128a的博客
02-20 899
结合靶场内容和AI给出的结论可以大致得出API可能会受到以下安全风险的威胁:认证和授权问题:未授权的用户可能会使用API,在没有经过充分身份验证的情况下访问敏感数据或执行敏感操作。注入攻击:黑客可能会利用API中的漏洞,将恶意代码注入到应用程序中,以窃取敏感数据或执行恶意操作。僵尸网络攻击:攻击者可能会使用API来构建僵尸网络,这些网络可以被用来进行DDoS攻击。数据泄露:攻击者可能会利用API的漏洞来获取未授权的访问权限,从而窃取敏感数据。
API安全漏洞靶场crapi的基本介绍与解题思路解析
S18374的博客
10-25 154
本文主要介绍api安全漏洞相关基础知识介绍和靶场crapi的环境搭建以及前七题的解题过程。crapi是一个供车主注册和管理车辆的平台,是一个易受攻击的应用程序,crapi是一个用于学习和实践api安全性的api漏洞的集合。在这里可以遇到api安全的应用程序中的常见漏洞,基本包括OWASP API TOP 10的漏洞。比如失效的对象级别授权漏洞,失效的用户身份验证漏洞,过多的数据暴露漏洞,速率限制漏洞,失效的功能级别授权,批量分配,SSRF,注入以及未经身份验证的访问漏洞。
Api-cr-api.zip
09-18
Api-cr-api.zip,Clash Royale公共API,提供有关玩家、部族、锦标赛等的实时数据。Royale API支持跟踪程序,一个api可以被认为是多个软件设备之间通信的指导手册。例如,api可用于web应用程序之间的数据库通信。通过...
CRaPI – framework for simulated RoboCup-开源
04-28
CRaPI-用于模拟RoboCup的正确,健壮和完美的API-是用于开发RoboCup模拟联盟中的团队的框架。 该框架是事件驱动的,不受任何特定的代理体系结构的约束,可与Soccer Server 9.x一起使用
ContainerWorkshop:容器,Docker和Kubernetes研讨会简介
05-25
使用Amazon Elastic Container Registry 使用舵图 欢迎 模块1:容器和Docker简介 先决条件 要运行本节中的练习,您将需要在本地计算机上安装Docker。 如果您在Mac上运行,则安装Docker的最简单方法是在Mac上安装...
crapi靶场
cgygsw的博客
02-06 530
接下来完成挑战2(访问其他用户的机械报告)总结:在抓包里面找到的用户名 账号 ID 编号 车架号 等等可以改成其他用户的就可以获取到其他用户的数据记录 就叫做失效的对象级别授权访问
API安全漏洞靶场crapi的基本介绍与解题思路
stopys6的博客
09-19 316
本文主要介绍api安全漏洞相关基础知识介绍和靶场crapi的环境搭建以及前七题的解题过程。crapi是一个供车主注册和管理车辆的平台,是一个易受攻击的应用程序,crapi是一个用于学习和实践api安全性的api漏洞的集合。在这里可以遇到api安全的应用程序中的常见漏洞,基本包括OWASP API TOP 10的漏洞。比如失效的对象级别授权漏洞,失效的用户身份验证漏洞,过多的数据暴露漏洞,速率限制漏洞,失效的功能级别授权,批量分配,SSRF,注入以及未经身份验证的访问漏洞。
VAmPI:一个包含了OWASP Top10漏洞的REST API安全学习平台
小王的储物间
02-15 568
1、基于OWASP Top10漏洞专门设计的REST API;2、包含了OpenAPI3规范和Postman Collection;3、提供了全局开关,可以控制环境漏洞是否启用;4、基于令牌的身份验证(就可以在app.py中进行调整);1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准。
API安全Top 10 漏洞:crAPI漏洞靶场与解题思路
QIANDXX的博客
03-22 1379
在 hack 中学习,不要去学习 hack
软件测试八款优秀的API安全测试工具,会用三款工作效率能提升50%
okcross0的博客
08-05 609
Postman Postman完全具备作为API测试工具的资格,但其更为人所知的名号却是打造安全API的全套协作平台。数百万Windows、Linux和iOS开发人员使用Postman不是没有原因的。
2024Datawhale AI夏令营---基于术语词典干预的机器翻译挑战赛--学习笔记
weixin_61573157的博客
07-15 1094
机器翻译(Machine Translation,简称MT)是自然语言处理领域的一个重要分支,其目标是将一种语言的文本自动转换为另一种语言的文本。机器翻译的发展可以追溯到20世纪50年代,经历了从基于规则的方法、统计方法到深度学习方法的演变过程。当前,机器翻译正朝着更加智能化和个性化方向发展。一方面,结合上下文理解、情感分析等技术,提高翻译的准确性和自然度;另一方面,通过用户反馈和个性化学习,提供更加符合用户需求的翻译服务。同时,跨语言信息检索、多模态翻译等新兴领域也正在成为研究热点。
昇思25天学习打卡营第14天|LLM-文本解码原理--以MindNLP为例
最新发布
wwt72的博客
07-17 618
限制输出序列的最大长度为50个token。top-p=0.95,top-p采样表示在每一步生成token时,只从概率分布中累计概率达到95%的token中进行采样,有助于保持生成文本的流畅性和质量,同时允许一些低概率的token被选中,从而增加多样性。表示禁用了top-k采样,因为在top-k采样中,通常是从概率最高的k个token中随机选择一个token作为下一个输出,而这里设置为0表示不限制token的选择,实际上这将等同于使用 softmax 概率分布直接进行采样。这有助于提高生成文本的多样性。
JKU Misuse Vulnerability crAPI will verify JWT token with any public key that is pointed to by the jku JWT header Create your own public/private key pair and sign a JWT in RS256 Algorithm Host the public key somewhere in JWK format Pass the public key URL in jku header of the JWT with appropriate kid header This JWT will be accepted as a valid JWT Token by crAPI
07-12
对于您提到的 JKU(JSON Web Key Set URL)的滥用漏洞,它可能导致 crAPI (假设是某个 API)接受任何被 jku JWT 头所指向的公钥进行验证。为了利用这个漏洞,您可以采取以下步骤: 1. 创建自己的公私钥对,并使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值