pikachu

"Si vous voulez comprendre une vulnérabilité, la meilleure façon est: vous pouvez créer vous-même cette vulnérabilité (écrite en code), alors exploitez-la, et enfin le réparer."

Pikachu est un système d'applications Web vulnérable qui contient ici des vulnérabilités de sécurité Web communes. Si vous êtes un apprenant de test de pénétration du Web et que vous êtes inquiet de ne pas avoir de gamme de tir appropriée pour pratiquer, Pikachu peut être juste.

• Burt Force (Brute Force Cracking Vulnérabilités)
  
• XSS (vulnérabilité des scripts croisés)
  
• CSRF (contrefaçon de demande croisée)
  
• SQL-Inject (vulnérabilité d'injection SQL)
  
• RCE (Exécution de commande / code distante)
  
• Inclusion de fichiers (le fichier contient des vulnérabilités)
  
• Téléchargements de fichiers dangereux (téléchargement de fichiers dangereux)
  
• Téléchargements de fichiers dangereux (téléchargement de fichiers dangereux)
  
• Au-dessus de Permisson (vulnérabilité non parentale)
  
• ../../../(CATALOG Traversal)
  
• Je peux voir votre ABC (fuite d'informations sensibles)
  
• Vulnérabilité de désérialisation PHP
  
• XXE (Attaque de l'entité externe XML)
  
• Redirection URL dangereuse
  
• SSRF (contrefaçon de demande côté serveur)
  
• Outils de gestion
  
• Plus ... (cherchez-le? ... il y a des œufs de Pâques!)
  

L'outil de gestion fournit un simple backend de gestion XSS pour tester le phishing et les cookies, et peut également faire des enregistrements de clavier! ~
Certaines nouvelles vulnérabilités seront mises à jour à l'avenir. Vous êtes également invités à me soumettre des cas de vulnérabilité. Veuillez faire attention à Pikachu pour la dernière version.
Chaque type de vulnérabilité a conçu différentes sous-classes selon différentes situations. Dans le même temps, afin de rendre ces vulnérabilités plus intéressantes, certains petits scénarios ont été conçus pour chaque vulnérabilité sur la plate-forme Pikachu. Cliquez sur "l'invite" dans le coin supérieur droit de la page de vulnérabilité pour afficher les informations d'aide.

Pikachu est développé à l'aide de PHP, la meilleure langue du monde -_-
La base de données utilise MySQL, vous devez donc installer l'environnement de base de "PHP + MySQL + Middleware (comme Apache, Nginx, etc.)" à l'avance lors de l'exécution de Pikachu. Il est recommandé d'utiliser des logiciels intégrés pour créer ces environnements de base dans votre environnement de test, tels que XAMPP, WAMP, etc. En tant que personne de sécurité, ces choses ne devraient pas être difficiles pour vous. Suivant:
-> Mettez le dossier Pikachu téléchargé dans le répertoire racine du serveur Web;
-> Modifiez la configuration de la connexion de la base de données dans inc / config.inc.php en fonction des conditions réelles;
-> Visitez h ttp: // xxxx / pikachu, et il y aura une invite enthousiaste rouge "Bienvenue à utiliser, Pikachu n'a pas encore été initialisé, cliquez pour initialiser l'installation!", Cliquez pour terminer l'installation.

Si vous avez des questions sur l'utilisation de Pikachu, vous pouvez consulter dans QQ Group: 532078894 (complet), 973351978 (pas complet). Bien que vous ayez consulté, quelqu'un ne peut pas répondre -_-.

Utilisez des versions existantes:

docker run -d -p 8765:80 8023/pikachu-expect:latest

Construction locale:

如果你熟悉docker,也可以直接用docker部署
docker build -t " pikachu " .
docker run -d -p 8080:80 pikachu

"Moins signifie plus, lent signifie vite"

Cliquez pour entrer