vapi

vAPI は脆弱な不正プログラム インターフェイスであり、演習の手段で OWASP API トップ 10 シナリオを模倣する自己ホスト可能な API です。

• PHP
• MySQL
• 郵便配達員
• MITM プロキシ

docker-compose up -d

 cd < your-hosting-directory > 

git clone https://github.com/roottusk/vapi.git

vapi.sql MySQL データベースにインポートする

vapi/.envで DB 認証情報を構成します。

次のコマンドを実行します (Linux)

service mysqld start

vapiディレクトリに移動して実行します

php artisan serve

• Postman にvAPI.postman_collection.jsonをインポートする
• Postman にvAPI_ENV.postman_environment.jsonをインポートする

または

パブリックワークスペースを使用する

https://www.postman.com/roottusk/workspace/vapi/

http://localhost/vapi/ドキュメントを参照してください

リクエストを送信した後、生成されたトークンの Postman テストまたは環境を参照してください。

Helm を使用して、Kubernetes 名前空間にデプロイできます。チャートはvapi-chartフォルダーにあります。チャートには、次の値を持つvapiという名前の 1 つのシークレットが必要です。

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

Helm インストール コマンドの例: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** 重要 ***

機能するには、 values.yamlの 232 行目の MYSQL_ROOT_PASSWORD が 184 行目のものと一致する必要があります。

OWASP 20 周年記念

ブラックハット ヨーロッパ 2021 アーセナル

HITB Cyber​​week 2021、アブダビ、UAE

@ハック、リヤド、サウジアラビア

APISecure.co

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (vAPI 1.0 のライトアップ)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (トルコ語) (vAPI 1.1 ウォークスルー)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (vAPI 1.1 のライトアップ)

• アイコンとバナーはFlaticonの画像を使用しています