freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

vAPI:一个自托管的OWASP Top 10漏洞API靶场
2022-04-23 15:59:57
所属地 广西

关于vAPI

vAPI是一款针对OWASP Top 10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。

工具要求

PHP

MySQL

PostMan

Mitmproxy

工具安装

Docker安装

docker-compose up -d

手动安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/roottusk/vapi.git

cd <your-hosting-directory>

工具配置

数据库配置

将项目中提供的vapi.sql导入到你的MySQL数据库中,并在vapi/.env文件中配置数据库凭证。

开启MySQL服务

下列命令可以在Linux系统上开启MySQL服务:

service mysqld start

开启Laravel服务器

切换到vapi项目目录下,然后运行下列命令即可:

php artisan serve

配置Postman

我们有两种方式来配置Postman,直接将下列两个文件导入到Postman中:

vAPI.postman_collection.json

vAPI_ENV.postman_environment.json

或者直接使用Postman公共工作空间:【传送门

工具使用

打开浏览器,然后访问“http://localhost/vapi/”。

发送请求后,即可在Postman中查看到请求和令牌内容。

工具部署

我们可以使用Helm来在一个kubernetes命名空间中部署和使用vAPI,此时需要使用下列参数选项值来完成配置:

DB_PASSWORD: <database password to use>

DB_USERNAME: <database username to use>

下面给出的是Helm的安装命令样例:

helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

注意:values.yaml文件第232行的“MYSQL_ROOT_PASSWORD”必须匹配第184行的内容,否则工具将无法正常执行。

使用视频

视频地址:https://www.you*tube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

vAPI:GitHub传送门

参考资料

https://www.postman.com/roottusk/workspace/vapi/

https://helm.sh/

https://owasp20thanniversaryevent20.sched.com/event/ll1k

https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

https://dsopas.github.io/MindAPI/references/

https://dzone.com/articles/api-security-weekly-issue-132

https://owasp.org/www-project-vulnerable-web-applications-directory/

https://github.com/arainho/awesome-api-security

https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

# OWASP # OWASP TOP 10 # 靶场 # 靶场平台
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录