vapi

vAPI는 연습을 통해 OWASP API 상위 10개 시나리오를 모방한 자체 호스팅 API인 취약하고 불리하게 프로그래밍된 인터페이스입니다.

• PHP
• MySQL
• 우편 집배원
• MITM 프록시

docker-compose up -d

 cd < your-hosting-directory > 

git clone https://github.com/roottusk/vapi.git

vapi.sql MySQL 데이터베이스로 가져오기

vapi/.env 에서 DB 자격 증명 구성

다음 명령 실행(Linux)

service mysqld start

vapi 디렉토리로 이동하여 실행

php artisan serve

• Postman에서 vAPI.postman_collection.json 가져오기
• Postman에서 vAPI_ENV.postman_environment.json 가져오기

또는

공용 작업 공간 사용

https://www.postman.com/roottusk/workspace/vapi/

문서를 보려면 http://localhost/vapi/ 찾아보세요.

요청을 보낸 후 Postman 테스트 또는 생성된 토큰 환경을 참조하세요.

Helm을 사용하여 Kubernetes 네임스페이스에 배포할 수 있습니다. 차트는 vapi-chart 폴더에 있습니다. 차트에는 다음 값을 가진 vapi 라는 비밀 하나가 필요합니다.

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

샘플 Helm 설치 명령: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** 중요한 ***

values.yaml 의 232행에 있는 MYSQL_ROOT_PASSWORD가 작동하려면 184행의 MYSQL_ROOT_PASSWORD와 일치해야 합니다.

OWASP 20주년

Blackhat 유럽 2021 아스날

HITB Cyberweek 2021, 아랍에미리트 아부다비

@Hack, 리야드, KSA

APISecure.co

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerability-fb9d4b1dd471(vAPI 1.0 쓰기)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS(터키어)(vAPI 1.1 연습)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (vAPI 1.1 쓰기)

• 아이콘과 배너는 Flaticon의 이미지를 사용합니다.