Inicio>código fuente PHP>Otras categorias
Descargar

vAPI

vAPI es una interfaz vulnerable programada de manera adversa, que es una API autohospedable que imita los 10 escenarios principales de la API de OWASP en los ejercicios.

Requisitos

  • PHP
  • mysql
  • Cartero
  • Proxy MITM

Instalación (acoplador) 

docker-compose up -d

Instalación (manual)

Copiando el código 

 cd < your-hosting-directory > 
git clone https://github.com/roottusk/vapi.git

Configurando la base de datos

Importar vapi.sql a la base de datos MySQL

Configure las credenciales de la base de datos en vapi/.env

Iniciando el servicio MySQL

Ejecute el siguiente comando (Linux) 

service mysqld start

Iniciando el servidor Laravel

Vaya al directorio vapi y ejecute 

php artisan serve

Configurar el cartero

  • Importar vAPI.postman_collection.json en Postman
  • Importar vAPI_ENV.postman_environment.json en Postman

O

Utilice el espacio de trabajo público

https://www.postman.com/roottusk/workspace/vapi/

Uso

Busque http://localhost/vapi/ para obtener documentación

Después de enviar solicitudes, consulte las pruebas de cartero o el entorno para los tokens generados.

Despliegue

Helm se puede utilizar para implementar en un espacio de nombres de Kubernetes. El gráfico está en la carpeta vapi-chart . El gráfico requiere un secreto llamado vapi con los siguientes valores: 

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

Ejemplo de comando de instalación de Helm: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** Importante ***

MYSQL_ROOT_PASSWORD en la línea 232 en el values.yaml debe coincidir con el de la línea 184 para poder funcionar.

Presentado en

OWASP 20º Aniversario

Blackhat Europa 2021 Arsenal

HITB Cyberweek 2021, Abu Dabi, Emiratos Árabes Unidos

@Hack, Riad, Arabia Saudita

Próximo

APISecure.co

Menciones y referencias

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introduciendo-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introduciendo-vapi/

Tutoriales/escritos/vídeos

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (escrito de vAPI 1.0)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (idioma turco) (tutorial de vAPI 1.1)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (Rescritura de vAPI 1.1)

Expresiones de gratitud

  • El icono y el banner utilizan imágenes de Flaticon.
Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo