Página Inicial>Código fonte PHP>Outras categorias
Baixar

vAPI

vAPI é uma interface vulnerável programada adversamente, que é uma API auto-hospedada que imita os 10 principais cenários da API OWASP por meio de exercícios.

Requisitos

  • PHP
  • MySQL
  • Carteiro
  • Proxy MITM

Instalação (Docker) 

docker-compose up -d

Instalação (manual)

Copiando o Código 

 cd < your-hosting-directory > 
git clone https://github.com/roottusk/vapi.git

Configurando o banco de dados

Importe vapi.sql para o banco de dados MySQL

Configure as credenciais do banco de dados em vapi/.env

Iniciando serviço MySQL

Execute o seguinte comando (Linux) 

service mysqld start

Iniciando o servidor Laravel

Vá para o diretório vapi e execute 

php artisan serve

Configurando o carteiro

  • Importe vAPI.postman_collection.json no Postman
  • Importe vAPI_ENV.postman_environment.json no Postman

OU

Usar espaço de trabalho público

https://www.postman.com/roottusk/workspace/vapi/

Uso

Navegue em http://localhost/vapi/ para documentação

Após enviar solicitações, consulte os Testes do Postman ou Ambiente para Tokens Gerados

Implantação

Helm pode ser usado para implantar em um namespace Kubernetes. O gráfico está na pasta vapi-chart . O gráfico requer um segredo denominado vapi com os seguintes valores: 

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

Exemplo de comando de instalação do Helm: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** Importante ***

O MYSQL_ROOT_PASSWORD na linha 232 em values.yaml deve corresponder ao da linha 184 para funcionar.

Apresentado em

20º Aniversário da OWASP

Blackhat Europa 2021 Arsenal

HITB Cyberweek 2021, Abu Dhabi, Emirados Árabes Unidos

@Hack, Riad, KSA

Por vir

APISecure.co

Menções e referências

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introduzindo-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introduzindo-vapi/

Passo a passo/redações/vídeos

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (gravação de vAPI 1.0)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (língua turca) (passo a passo da vAPI 1.1)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (escrita de vAPI 1.1)

Agradecimentos

  • O ícone e o banner usam imagem do Flaticon
Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos