vapi

vAPI est une interface vulnérable mal programmée qui est une API auto-hébergée qui imite les 10 meilleurs scénarios de l'API OWASP au moyen d'exercices.

• PHP
• MySQL
• Facteur
• Proxy MITM

docker-compose up -d

 cd < your-hosting-directory > 

git clone https://github.com/roottusk/vapi.git

Importer vapi.sql dans la base de données MySQL

Configurez les informations d'identification de la base de données dans le vapi/.env

Exécutez la commande suivante (Linux)

service mysqld start

Allez dans le répertoire vapi et exécutez

php artisan serve

• Importer vAPI.postman_collection.json dans Postman
• Importer vAPI_ENV.postman_environment.json dans Postman

OU

Utiliser l'espace de travail public

https://www.postman.com/roottusk/workspace/vapi/

Parcourez http://localhost/vapi/ pour la documentation

Après l'envoi des demandes, reportez-vous aux tests Postman ou à l'environnement pour les jetons générés.

Helm peut être utilisé pour déployer dans un espace de noms Kubernetes. Le graphique se trouve dans le dossier vapi-chart . Le graphique nécessite un secret nommé vapi avec les valeurs suivantes :

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

Exemple de commande d'installation Helm : helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** Important ***

Le MYSQL_ROOT_PASSWORD de la ligne 232 du fichier values.yaml doit correspondre à celui de la ligne 184 pour fonctionner.

20e anniversaire de l'OWASP

Blackhat Europe 2021 Arsenal

HITB Cyberweek 2021, Abu Dhabi, Émirats Arabes Unis

@Hack, Riyad, Arabie Saoudite

APISecure.co

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (écriture vAPI 1.0)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (langue turque) (procédure pas à pas de vAPI 1.1)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (écriture vAPI 1.1)

• L'icône et la bannière utilisent l'image de Flaticon