flask vuln

Un autre objectif pour la pratique de sécurité. Rien d'extraordinaire ici.

Si vous l'utilisez, veuillez prendre note: n'exécutez pas cela sur votre propre ordinateur portable pour d'autres personnes comme cible. L'exécution de cette application sera un risque de sécurité si vous le faites.

1. Installer Python + Flask ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

Ou utilisez run.sh

Ou utilisez run_docker.sh (qui construit l'image et démarre un conteneur). N'oubliez pas d'arrêter et de retirer le conteneur une fois que vous avez terminé.

Profitez des puzzles de http://localhost:5000

Si vous exécutez cela pour d'autres personnes, quelque part, vous devez ajouter --host=0.0.0.0 pour filer les paramètres de commande pour écouter toutes les adresses IP. Veuillez comprendre que cela met la machine en danger lorsque vous exécutez cette application et prenez les mesures appropriées.

FLASK est un serveur de développement monomarré. Ce qui signifie qu'il pend et suce dans un cadre d'atelier. Comme remède, faites quelque chose comme ceci:

1. Configurer le serveur Ubuntu sur EC2, les pare-feu appropriés, etc.
2. Configurer la propriété intellectuelle de l'hôte pour ANSIBLE
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

Cela l'exécute via Gunicorn, ce qui est une meilleure implémentation pour le serveur Web multithread.

Les gens devraient essayer de résoudre et le comprendre manuellement. L'exécution d'Owasp ZAP révèlera immédiatement la plupart des vulnérabilités de cette application (comme vous pouvez vous y attendre, étant donné qu'il s'agit intentionnellement d'une cible douce pour la pratique) en retirant tout l'apprentissage de l'expérience.

Voir la licence