flask vuln

Un objetivo más para la práctica de seguridad. Nada elegante aquí.

Si lo usa, tome nota: no ejecute esto en su propia computadora portátil para otras personas como objetivo. Ejecutar esta aplicación será un riesgo de seguridad si lo hace.

1. Instale Python + Flask ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

O usar run.sh

O use run_docker.sh (que construye la imagen e inicia un contenedor). Recuerde parar y quitar el contenedor después de que haya terminado.

Disfruta de los rompecabezas en http://localhost:5000

Si ejecuta esto para otras personas, en algún lugar, debe agregar --host=0.0.0.0 a los parámetros de comando frasco para escuchar todas las direcciones IP. Por favor, comprenda que hacerlo pone la máquina en riesgo donde ejecuta esta aplicación y toma las medidas apropiadas.

Flask es un servidor de desarrollo único. Lo que significa que cuelga y chupa un taller. Como remedio, haz algo como esto:

1. Configurar el servidor Ubuntu en EC2, firewalls adecuados, etc.
2. Configurar IP de host para Ansible
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

Esto lo ejecuta a través de Gunicorn, que es una mejor implementación para el servidor web de subprocesos múltiples.

La gente debería tratar de resolver y descubrir esto manualmente. Ejecutar OWASP ZAP revelará inmediatamente la mayoría de las vulnerabilidades en esta aplicación (como puede esperar, dado que este es intencionalmente un objetivo suave para la práctica) eliminando todo el aprendizaje de la experiencia.

Ver licencia