flask vuln

Mais um alvo para a prática de segurança. Nada chique aqui.

Se você o usar, observe: Não execute isso no seu próprio laptop para outras pessoas como alvo. A execução deste aplicativo será um risco de segurança, caso você o faça.

1. Instale o balão Python + ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

Ou use run.sh

Ou use run_docker.sh (que constrói a imagem e inicia um contêiner). Lembre -se de parar e remover o recipiente depois de terminar.

Aproveite os quebra -cabeças em http://localhost:5000

Se você executar isso para outras pessoas, em algum lugar, você deve adicionar --host=0.0.0.0 aos parâmetros de comando Flask para ouvir todos os endereços IP. Por favor, entenda que isso coloca a máquina em risco, onde você executa este aplicativo e toma medidas apropriadas.

O Flask é um servidor de desenvolvimento de thread único. O que significa que ele está pendurado e é péssimo em uma configuração de workshop. Como remédio, faça algo assim:

1. Configure o servidor Ubuntu no EC2, firewalls adequados etc.
2. Configure IP do host para Ansible
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

Isso o executa através do Gunicorn, que é uma melhor implementação para o servidor da web com vários threads.

As pessoas devem tentar resolver e descobrir isso manualmente. A execução do OWASP ZAP revelará imediatamente a maioria das vulnerabilidades neste aplicativo (como você pode esperar, já que isso é intencionalmente um alvo suave para a prática) tirando todo o aprendizado da experiência.

Consulte a licença