Dibuat oleh Fernando Mengali
YpreyPHP adalah framework Aplikasi Web dengan kerentanan dari OWASP TOP 10. Framework ini dikembangkan untuk detail belajar mengajar di Pentest (pengujian penetrasi) dan Keamanan Aplikasi. Dalam konteks Keamanan Ofensif, kerentanan yang terdapat dalam aplikasi web dapat diidentifikasi, dieksploitasi, dan disusupi. Untuk profesional keamanan aplikasi dan spesifiknya, kerangka kerja ini memberikan pemahaman mendalam tentang kerentanan tingkat kode. Saat ini, Yrprey merupakan salah satu framework dengan jumlah kerentanan tertinggi di dunia, menjadikannya berharga untuk tujuan pendidikan, pembelajaran, dan pengajaran di bidang Keamanan Informasi. Untuk informasi lebih lanjut tentang kerentanan, kami sarankan untuk menjelajahi detail yang tersedia di yrprey.com.
Awalnya, pengguna yang tidak terdaftar memiliki akses ke informasi minimal tentang kerangka kerja seperti Halaman Arahan. Saat mendaftar, pengguna dapat login sehingga memperoleh token yang akan digunakan untuk membeli produk. Fitur-fiturnya termasuk alat pembelian, karakter kartun, posting pesan di buku tamu, dll. Kerangka kerja ini dibangun berdasarkan kerentanan dan tidak disarankan untuk digunakan untuk penjualan bisnis dan layanan.
Di bagian ini, kami memiliki perbandingan kerentanan yang ada dalam kerangka kerja dengan rute dan perbandingan antara Aplikasi Web TOP 10 OWASP. Tabel ini memudahkan untuk memahami cara mengeksploitasi kerentanan di setiap fungsi sistem. Dalam dua kolom terakhir kami memiliki tanda kurung dan skenario yang terkait dengan Aplikasi Web TOP 10 OWASP, memfasilitasi pemahaman teori yang dijelaskan di halaman https://owasp.org/www-project-top-ten/. Setelah memahami skenario dan jalur kerentanan, proses identifikasi dan eksploitasi kerentanan menjadi lebih mudah. Jika Anda seorang profesional Keamanan Aplikasi, mengetahui skenario dan rute titik akhir membuat proses mengidentifikasi dan memperbaiki kerentanan lebih mudah dengan teknik Keamanan Tinjauan Kode manual atau analisis SAST, SCA, dan DAST otomatis
Tabel lengkap dengan poin kerentanan, rincian kerentanan dan perbandingan antara kerentanan Aplikasi Web TOP 10 OWASP:
| Qtde | Metode | Jalur | Detail |
|---|---|---|---|
| 01 | MENDAPATKAN | /pencarian.php | Injeksi MySQL |
| 02 | MENDAPATKAN | /pencarian.php | Skrip lintas situs - Reflect (RXSS) |
| 03 | MENDAPATKAN | /tools.php?id={numer_id} | Injeksi MySQL |
| 04 | MENDAPATKAN | /warriors.php?id={numer_id} | Injeksi MySQL |
| 05 | POS | /buku tamu.php | Skrip lintas situs - Tersimpan (XSS) |
| 06 | POS | /login.php | Injeksi MySQL (' atau 1=1#) |
| 07 | MENDAPATKAN | /change.php?kata sandi={string} | Pemalsuan permintaan lintas situs (CSRF) |
| 08 | MENDAPATKAN | /profil.php?id={string} | Gangguan Parameter Web |
| 09 | T/A | /index.php | Pembajakan Sesi (Cookie Manipulasi) |
| 10 | MENDAPATKAN | /phpinfo.php | Kesalahan konfigurasi |
| 11 | MENDAPATKAN | /js/jquery-1.5.1.js | Skrip lintas situs - Reflect (RXSS) |
| 12 | MENDAPATKAN | /js/jquery-1.5.1.js | Polusi Prototipe |
| 13 | MENDAPATKAN | /js/lodash-3.9.0.js | Polusi Prototipe |
| 14 | MENDAPATKAN | /js/lodash-3.9.0.js | Injeksi Perintah |
| 15 | MENDAPATKAN | /js/lodash-3.9.0.js | Penolakan Layanan Ekspresi Reguler (ReDoS) |
| 16 | MENDAPATKAN | /js/bootstrap-4.1.3.js | Polusi Prototipe |
| 17 | MENDAPATKAN | /WS_FTP.LOG | Kesalahan konfigurasi |
| 18 | MENDAPATKAN | /daftar.php | Eksekusi Perintah Jarak Jauh - (RCE) |
Anda dapat mengujinya di Xampp atau platform lain yang mendukung PHP dan MySQL.
Tolong, hindari mengambil tindakan ini dan meminta CVE!
Aplikasi ini sengaja memiliki beberapa kerentanan, sebagian besar diketahui dan dianggap sebagai pembelajaran. Yang lainnya, pada gilirannya, lebih "tersembunyi" dan dapat ditemukan sendiri. Jika Anda memiliki keinginan tulus untuk menunjukkan keahlian Anda dalam menemukan elemen tambahan ini, kami sarankan Anda berbagi pengalaman Anda di blog atau membuat video. Pasti ada orang yang tertarik mempelajari nuansa ini dan cara Anda mengidentifikasinya. Dengan mengirimkan tautannya kepada kami, kami bahkan dapat mempertimbangkan untuk memasukkannya ke dalam referensi kami.
