yrpreyPHP

페르난도 멘갈리(Fernando Mengali)가 만든 것

YpreyPHP는 OWASP TOP 10의 취약점이 포함된 웹 애플리케이션 프레임워크입니다. 이 프레임워크는 침투 테스트(침투 테스트) 및 애플리케이션 보안의 세부 사항을 가르치고 학습하기 위해 개발되었습니다. 공격적인 보안의 맥락에서 웹 애플리케이션에 포함된 취약점을 식별하고, 악용하고, 손상시킬 수 있습니다. 애플리케이션 보안 전문가 및 세부 사항을 위해 프레임워크는 코드 수준 취약점에 대한 심층적인 이해를 제공합니다. 현재 Yrprey는 세계에서 취약점 수가 가장 많은 프레임워크 중 하나이므로 정보 보안 분야의 교육, 학습 및 교육 목적으로 가치가 있습니다. 취약점에 대한 자세한 내용을 보려면 yrprey.com에서 제공되는 세부 정보를 살펴보는 것이 좋습니다.

• 웹 애플리케이션에 대한 OWASP의 상위 10개 취약점을 기반으로 합니다.

처음에는 등록되지 않은 사용자가 랜딩 페이지와 같은 프레임워크에 대한 최소한의 정보에 액세스할 수 있습니다. 등록 시 사용자는 로그인하여 제품 구매에 사용할 토큰을 얻을 수 있습니다. 기능에는 구매 도구, 만화 캐릭터, 방명록에 메시지 게시 등이 포함됩니다. 프레임워크는 취약점을 기반으로 구축되었으며 비즈니스 및 서비스 판매에 사용하지 않는 것이 좋습니다.

이 섹션에서는 프레임워크에 존재하는 취약점을 경로와 비교하고 OWASP TOP 10 웹 애플리케이션을 비교합니다. 이 표를 사용하면 각 시스템 기능의 취약점을 악용하는 방법을 더 쉽게 이해할 수 있습니다. 마지막 두 열에는 OWASP TOP 10 웹 애플리케이션과 관련된 괄호와 시나리오가 있어 https://owasp.org/www-project-top-ten/ 페이지에 설명된 이론의 이해를 돕습니다. 시나리오와 취약한 경로를 이해한 후에는 취약성을 식별하고 악용하는 프로세스가 더 쉬워집니다. 애플리케이션 보안 전문가라면 엔드포인트의 시나리오와 경로를 알면 수동 코드 검토 보안 기술이나 자동화된 SAST, SCA 및 DAST 분석을 통해 취약점을 더 쉽게 식별하고 수정하는 프로세스를 수행할 수 있습니다.

취약점, 취약점 세부 정보 및 OWASP TOP 10 웹 애플리케이션 취약점 간의 비교가 포함된 전체 표:

• 1º - Linux에 Apache, PHP 및 MySQL을 설치하고 구성합니다.
• 2º - YRpreyPHP 파일을 /var/www/로 가져옵니다.
• 3º - "yrprey"라는 데이터베이스를 만듭니다.
• 4º - yrprey.sql을 데이터베이스로 가져옵니다.
• 5º - 브라우저에서 http://localhost 주소에 액세스합니다.

Xampp이나 PHP 및 MySQL을 지원하는 다른 플랫폼에서 테스트할 수 있습니다.

이러한 조치를 취하고 CVE를 요청하지 마십시오!

애플리케이션에는 의도적으로 몇 가지 취약점이 있으며, 대부분은 알려져 있으며 교훈으로 취급됩니다. 다른 것들은 더 "숨겨져" 있으며 스스로 발견할 수 있습니다. 이러한 추가 요소를 찾는 기술을 보여주고 싶다면 블로그에서 경험을 공유하거나 비디오를 만드는 것이 좋습니다. 이러한 뉘앙스와 이를 식별한 방법에 대해 알아보는 데 관심이 있는 사람들이 분명히 있습니다. 우리에게 링크를 보내면 우리는 그것을 참고자료에 포함시키는 것을 고려할 수도 있습니다.