flask vuln

セキュリティプラクティスのもう1つの目標。ここでは何も空想的ではありません。

使用する場合は、注意してください。これをターゲットとして他の人のために自分のラップトップでこれを実行しないでください。このアプリケーションを実行すると、セキュリティリスクがあります。

1. Python + Flask（ pip install flask ）をインストールする
2. export FLASK_APP=flask-vuln.py
3. flask run

またはrun.shを使用します。

または、 run_docker.sh （画像を構築してコンテナを起動する）を使用します。完了したら、コンテナを停止して取り外すことを忘れないでください。

http://localhost:5000でパズルをお楽しみください

他の人のためにこれを実行する場合は、どこかで、すべてのIPアドレスを聞くためにFlaskコマンドパラメーターに--host=0.0.0.0を追加する必要があります。そうすることで、このアプリケーションを実行し、適切な対策を講じる危険にさらされることを理解してください。

Flaskは、単一の読み取り開発サーバーです。つまり、ワークショップの設定を吊るして吸うことを意味します。治療として、次のようなことをしてください：

1. EC2、適切なファイアウォールなどにubuntuサーバーをセットアップします。
2. AnsibleのホストIPを構成します
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

これにより、Multi-Threaded Webサーバー向けのより良い実装であるGunicornを通じて実行されます。

人々はこれを手動で解決して把握しようとする必要があります。 OWASP ZAPを実行すると、このアプリケーションの脆弱性のほとんどがすぐに明らかになります（これが意図的に練習のソフトターゲットであることを考えると）すべての学習を経験から取り除きます。

ライセンスを参照してください