security demos

Este proyecto demuestra varias preocupaciones de seguridad con las aplicaciones web, basadas en el OWASP Top 10 2017, los diez riesgos de seguridad de aplicaciones web más críticas .

Captura de pantalla

¡No intentes esto en casa! :)

• (SQL) Laboratorio de inyección : juega y aprende sobre la inyección de SQL
• Laboratorio de autenticación roto : autenticación de fuerza bruta utilizando 100 de las contraseñas más utilizadas
• Laboratorio de exposición sensible : aprenda por qué necesita hash de sales utilizando tablas / sitios de arco iris como la estación de crack para buscar valores de texto plano para hashes sin sal.
• Laboratorio de control de acceso roto : vea qué sucede si se olvida de autorizar a los usuarios correctamente y los usuarios comienzan a adivinar los parámetros de URL
• Laboratorio de secuencias de comandos de sitio cruzado (XSS) - Experimente cómo se puede robar un token JWT si permite que se ejecute JavaScript arbitrary en una página
• Scripts convenientes para la entrada de fuerza bruta, crear semillas y crear hashes SHA1

¡El código en este proyecto tiene fines puramente educativos y no debe usarse en entornos de producción!

Este proyecto fue creado originalmente como un proyecto de demostración para la clase avanzada Codaisseur para asegurar aplicaciones web. Más tarde, se actualizó y Kyna y TechMongers adoptaron para los laboratorios de ciberseguridad y el mantenimiento.

Este proyecto se puede ejecutar localmente en Docker desde el docker-compose.yaml proporcionado.

Clone el repositorio, luego ejecute el contenedor de la aplicación e instale los módulos de nodo:

$ docker-compose run app /bin/bash
$ yarn install
$ exit

Luego inicie la aplicación y el contenedor de Postgres:

$ docker-compose up

Luego abra http: // localhost: 5000 y comience a agrietarse!

El contenedor de la aplicación depende de PostgreSQL. Puede ser que la primera vez que comience la pila de docker-compose , las semillas en el contenedor PostgreSQL tardan demasiado en ejecutar la aplicación no se inicia.

Simplemente CTRL-C fuera del proceso Docker-Compose para detenerlo, luego comience nuevamente con el comando docker-compose up .

Copyright 2022-2023 TechMongerers bv Copyright 2021-2023 Mindgym bv Copyright 2017-2022 Codaisseur BV

El permiso se otorga, de forma gratuita, a cualquier persona que obtenga una copia de este software y archivos de documentación asociados (el "software"), para tratar en el software sin restricción, incluidos los derechos de los derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicense y/o vender copias del software, y para permitir que las personas a quienes se les proporciona el software para hacer, sujeto a las siguientes condiciones: las siguientes condiciones: las siguientes condiciones: las siguientes condiciones:

El aviso de derechos de autor anterior y este aviso de permiso se incluirán en todas las copias o porciones sustanciales del software.

El software se proporciona "tal cual", sin garantía de ningún tipo, expresa o implícita, incluidas, entre otros, las garantías de comerciabilidad, idoneidad para un propósito particular y no infracción. En ningún caso los autores o titulares de derechos de autor serán responsables de cualquier reclamo, daños u otra responsabilidad, ya sea en una acción de contrato, agravio o de otra manera, que surge, de o en relación con el software o el uso u otros tratos en el software.