vapi
vAPI 1.3
vAPI 是易受攻擊的逆向編程接口,它是自託管 API,透過練習模擬 OWASP API 前 10 個場景。
docker-compose up -d cd < your-hosting-directory > git clone https://github.com/roottusk/vapi.git將vapi.sql匯入 MySQL 資料庫
在vapi/.env中設定資料庫憑證
執行以下命令(Linux)
service mysqld start進入vapi目錄並運行
php artisan servevAPI.postman_collection.jsonvAPI_ENV.postman_environment.json或者
使用公共工作空間
https://www.postman.com/roottusk/workspace/vapi/
瀏覽http://localhost/vapi/以取得文檔
發送請求後,請參閱Postman測試或產生令牌的環境
Helm 可用於部署到 Kubernetes 命名空間。此圖表位於vapi-chart資料夾中。此圖表需要一個名為vapi的金鑰,其值如下:
DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>
Helm 安裝指令範例: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml
*** 重要的 ***
values.yaml中第 232 行的 MYSQL_ROOT_PASSWORD 必須與第 184 行相符才能正常運作。
OWASP 20 週年
黑帽歐洲 2021 阿森納
HITB 網路週 2021,阿聯酋阿布達比
@Hack,沙烏地阿拉伯利雅得
APISecure.co
[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/
[2] https://dsopas.github.io/MindAPI/references/
[3] https://dzone.com/articles/api-security-weekly-issue-132
[4] https://owasp.org/www-project-vulnerable-web-applications-directory/
[5] https://github.com/arainho/awesome-api-security
[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security
[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/
[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerability-fb9d4b1dd471(vAPI 1.0 編寫)
[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS(土耳其語)(vAPI 1.1 演練)
[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c(vAPI 1.1 寫入)
