flask vuln

Satu target lagi untuk praktik keamanan. Tidak ada yang mewah di sini.

Jika Anda menggunakannya, harap perhatikan: jangan jalankan ini di laptop Anda sendiri untuk orang lain sebagai target. Menjalankan aplikasi ini akan menjadi risiko keamanan jika Anda melakukannya.

1. Pasang Python + Flask ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

Atau gunakan run.sh

Atau gunakan run_docker.sh (yang membangun gambar dan memulai wadah). Ingatlah untuk berhenti dan lepaskan wadah setelah Anda selesai.

Nikmati teka -teki di http://localhost:5000

Jika Anda menjalankan ini untuk orang lain, di suatu tempat, Anda harus menambahkan --host=0.0.0.0 untuk memadamkan parameter perintah untuk mendengarkan semua alamat IP. Harap dipahami bahwa melakukan hal itu menempatkan mesin pada risiko di mana Anda menjalankan aplikasi ini dan mengambil tindakan yang sesuai.

Flask adalah server pengembangan utamanya. Yang berarti menggantung dan menyebalkan dalam pengaturan lokakarya. Sebagai obat, lakukan sesuatu seperti ini:

1. Mengatur server Ubuntu di EC2, firewall yang tepat dll.
2. Konfigurasikan IP Host untuk Ansible
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

Ini menjalankannya melalui Gunicorn yang merupakan implementasi yang lebih baik untuk server web multi-threaded.

Orang harus mencoba menyelesaikan dan mencari tahu ini secara manual. Menjalankan Owasp Zap akan segera mengungkapkan sebagian besar kerentanan pada aplikasi ini (seperti yang dapat Anda harapkan, mengingat bahwa ini dengan sengaja merupakan target lunak untuk latihan) mengambil semua pembelajaran dari pengalaman.

Lihat lisensi