الصفحة الرئيسية>PHP كود المصدر>فئات أخرى
تنزيل

vAPI

vAPI عبارة عن واجهة برمجة عكسية ضعيفة وهي واجهة برمجة تطبيقات ذاتية الاستضافة تحاكي سيناريوهات OWASP API العشرة الأوائل في وسائل التمارين.

متطلبات

  • PHP
  • ماي إس كيو إل
  • ساعي البريد
  • وكيل MITM

التثبيت (عامل الميناء) 

docker-compose up -d

التثبيت (يدوي)

نسخ الكود 

 cd < your-hosting-directory > 
git clone https://github.com/roottusk/vapi.git

إعداد قاعدة البيانات

قم باستيراد vapi.sql إلى قاعدة بيانات MySQL

قم بتكوين بيانات اعتماد قاعدة البيانات في vapi/.env

بدء تشغيل خدمة MySQL

قم بتشغيل الأمر التالي (Linux) 

service mysqld start

بدء خادم لارافيل

انتقل إلى دليل vapi وتشغيل 

php artisan serve

إعداد ساعي البريد

  • قم باستيراد vAPI.postman_collection.json في Postman
  • قم باستيراد vAPI_ENV.postman_environment.json في Postman

أو

استخدم مساحة العمل العامة

https://www.postman.com/roottusk/workspace/vapi/

الاستخدام

تصفح http://localhost/vapi/ للتوثيق

بعد إرسال الطلبات، راجع اختبارات ساعي البريد أو بيئة الرموز المميزة التي تم إنشاؤها

النشر

يمكن استخدام Helm للنشر في مساحة اسم Kubernetes. المخطط موجود في مجلد vapi-chart . يتطلب المخطط سرًا واحدًا يسمى vapi بالقيم التالية: 

 DB_PASSWORD: <database password to use>
DB_USERNAME: <database username to use>

نموذج أمر تثبيت Helm: helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

*** مهم ***

يجب أن يتطابق MYSQL_ROOT_PASSWORD الموجود في السطر 232 في values.yaml yaml مع ذلك الموجود في السطر 184 حتى يعمل.

قدمت في

الذكرى العشرين لـ OWASP

بلاكهات أوروبا 2021 ارسنال

HITB Cyberweek 2021، أبوظبي، الإمارات العربية المتحدة

@هاك، الرياض، المملكة العربية السعودية

القادمة

APISecure.co

الإشارات والمراجع

[1] https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

[2] https://dsopas.github.io/MindAPI/references/

[3] https://dzone.com/articles/api-security-weekly-issue-132

[4] https://owasp.org/www-project-vulnerable-web-applications-directory/

[5] https://github.com/arainho/awesome-api-security

[6] https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

[7] https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/

إرشادات تفصيلية/كتابات/فيديو

[1] https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (كتابة vAPI 1.0)

[2] https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (اللغة التركية) (إرشادات vAPI 1.1)

[3] https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (كتابة vAPI 1.1)

شكر وتقدير

  • يستخدم الرمز واللافتة صورة من Flaticon
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل