flask vuln

보안 관행을위한 또 하나의 목표. 여기에 멋진 것은 없습니다.

당신이 그것을 사용한다면, 참고하십시오 : 다른 사람들을 위해 자신의 노트북에서 이것을 목표로 삼지 마십시오. 이 응용 프로그램을 실행하면 보안 위험이됩니다.

1. Python + Flask 설치 ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

또는 run.sh 사용하십시오.

또는 run_docker.sh (이미지를 만들고 컨테이너를 시작)를 사용하십시오. 완료된 후 컨테이너를 멈추고 제거해야합니다.

http://localhost:5000 에서 퍼즐을 즐기십시오

다른 사람들을 위해 이것을 실행하는 경우, 모든 IP 주소를 듣기 위해 flask 명령 매개 변수에 --host=0.0.0.0 을 추가해야합니다. 이를 수행하면이 응용 프로그램을 실행하고 적절한 조치를 취할 때 머신이 위험에 처하게됩니다.

플라스크는 단일 스레드 개발 서버입니다. 워크숍 환경에서 매달려 짜증이납니다. 치료법으로 다음과 같은 일을하십시오.

1. EC2에서 Ubuntu 서버 설정, 적절한 방화벽 등
2. Ansible 용 호스트 IP를 구성하십시오
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

이것은 Gunicorn을 통해 실행되어 다중 스레드 웹 서버를위한 더 나은 구현입니다.

사람들은 이것을 수동으로 해결하고 알아 내려고 노력해야합니다. OWASP ZAP를 실행하면이 응용 프로그램에서 대부분의 취약점이 즉시 공개됩니다 (의도적으로 실습을위한 부드러운 목표임을 감안할 때 예상대로) 모든 학습을 경험하지 못합니다.

라이센스를 참조하십시오