vapi
vAPI 1.3
vAPI 是易受攻击的逆向编程接口,它是自托管 API,通过练习模拟 OWASP API 前 10 个场景。
docker-compose up -d cd < your-hosting-directory > git clone https://github.com/roottusk/vapi.git将vapi.sql导入 MySQL 数据库
在vapi/.env中配置数据库凭据
运行以下命令(Linux)
service mysqld start进入vapi目录并运行
php artisan servevAPI.postman_collection.jsonvAPI_ENV.postman_environment.json或者
使用公共工作空间
https://www.postman.com/roottusk/workspace/vapi/
浏览http://localhost/vapi/以获取文档
发送请求后,请参阅Postman测试或生成令牌的环境
Helm 可用于部署到 Kubernetes 命名空间。该图表位于vapi-chart文件夹中。该图表需要一个名为vapi的密钥,其值如下:
DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>
Helm 安装命令示例: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml
*** 重要的 ***
values.yaml中第 232 行的 MYSQL_ROOT_PASSWORD 必须与第 184 行匹配才能正常工作。
OWASP 20 周年
黑帽欧洲 2021 阿森纳
HITB 网络周 2021,阿联酋阿布扎比
@Hack,沙特阿拉伯利雅得
APISecure.co
[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/
[2] https://dsopas.github.io/MindAPI/references/
[3] https://dzone.com/articles/api-security-weekly-issue-132
[4] https://owasp.org/www-project-vulnerable-web-applications-directory/
[5] https://github.com/arainho/awesome-api-security
[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security
[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/
[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerability-fb9d4b1dd471(vAPI 1.0 编写)
[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS(土耳其语)(vAPI 1.1 演练)
[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c(vAPI 1.1 写入)
