Startseite>PHP-Quellcode>Andere Kategorien
Herunterladen

vAPI

vAPI ist eine Vulnerable Adversely Programmed Interface, eine selbsthostbare API, die in den Übungen die Top-10-Szenarien der OWASP-API nachahmt.

Anforderungen

  • PHP
  • MySQL
  • Briefträger
  • MITM-Proxy

Installation (Docker) 

docker-compose up -d

Installation (manuell)

Kopieren des Codes 

 cd < your-hosting-directory > 
git clone https://github.com/roottusk/vapi.git

Einrichten der Datenbank

Importieren Sie vapi.sql in die MySQL-Datenbank

Konfigurieren Sie die DB-Anmeldeinformationen in vapi/.env

MySQL-Dienst starten

Führen Sie den folgenden Befehl aus (Linux) 

service mysqld start

Laravel Server starten

Gehen Sie zum vapi Verzeichnis und führen Sie es aus 

php artisan serve

Postbote einrichten

  • Importieren Sie vAPI.postman_collection.json in Postman
  • Importieren Sie vAPI_ENV.postman_environment.json in Postman

ODER

Nutzen Sie den öffentlichen Arbeitsbereich

https://www.postman.com/roottusk/workspace/vapi/

Verwendung

Durchsuchen Sie http://localhost/vapi/ nach Dokumentation

Lesen Sie nach dem Senden von Anfragen die Postman-Tests oder die Umgebung für generierte Token

Einsatz

Helm kann für die Bereitstellung in einem Kubernetes-Namespace verwendet werden. Das Diagramm befindet sich im vapi-chart Ordner. Das Diagramm erfordert ein Geheimnis namens vapi mit den folgenden Werten: 

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

Beispiel für einen Helm-Installationsbefehl: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** Wichtig ***

Das MYSQL_ROOT_PASSWORD in Zeile 232 in der values.yaml muss mit dem in Zeile 184 übereinstimmen, damit es funktioniert.

Präsentiert am

20. OWASP-Jubiläum

Blackhat Europe 2021 Arsenal

HITB Cyberweek 2021, Abu Dhabi, Vereinigte Arabische Emirate

@Hack, Riad, KSA

Demnächst

APISecure.co

Erwähnungen und Referenzen

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

Exemplarische Vorgehensweisen/Aufsätze/Videos

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (vAPI 1.0-Beschreibung)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (Türkische Sprache) (vAPI 1.1 Komplettlösung)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (vAPI 1.1 Writeup)

Danksagungen

  • Das Symbol und Banner verwenden Bilder von Flaticon
Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle