pikachu

"Se você deseja entender uma vulnerabilidade, a melhor maneira é: você pode criar essa vulnerabilidade (escrita em código), explorá -la e finalmente consertá -la."

O Pikachu é um sistema de aplicativos da Web vulnerável que contém vulnerabilidades comuns de segurança na Web aqui. Se você é um aluno de teste de penetração na web e está preocupado em não ter um campo de tiro adequado para praticar, o Pikachu pode estar certo.

• Burt Force (vulnerabilidades de rachaduras da força bruta)
  
• XSS (vulnerabilidade de scripts de sites cruzados)
  
• CSRF (falsificação de solicitação entre sites)
  
• Injeção de SQL (vulnerabilidade de injeção SQL)
  
• RCE (execução do comando/código remoto)
  
• Inclusão de arquivos (o arquivo contém vulnerabilidades)
  
• Downloads de arquivos inseguros (download de arquivo inseguro)
  
• Uploads de arquivo inseguros (upload de arquivo inseguro)
  
• Over Permisson (vulnerabilidade incomparatória)
  
• ../../../(Catalog Traversal)
  
• Eu posso ver seu ABC (vazamento de informações sensíveis)
  
• Vulnerabilidade de deserialização do PHP
  
• XXE (ataque de entidade externa XML)
  
• Redirecionamento URL inseguro
  
• SSRF (falsificação de solicitação do servidor)
  
• Ferramentas de gerenciamento
  
• Mais ... (procure isso? ... há ovos de Páscoa!)
  

A ferramenta de gerenciamento fornece um back -end simples de gerenciamento XSS para você testar o phishing e os cookies e também pode fazer registros de teclado! ~
Algumas novas vulnerabilidades serão atualizadas no futuro. Você também pode enviar casos de vulnerabilidade para mim. Por favor, preste atenção a Pikachu para a versão mais recente.
Cada tipo de vulnerabilidade projetou diferentes subclasses de acordo com diferentes situações. Ao mesmo tempo, para tornar essas vulnerabilidades mais interessantes, alguns pequenos cenários foram projetados para cada vulnerabilidade na plataforma Pikachu. Clique no "prompt" no canto superior direito da página de vulnerabilidades para visualizar as informações de ajuda.

Pikachu é desenvolvido usando PHP, a melhor linguagem do mundo -_-
O banco de dados usa o MySQL, então você precisa instalar o ambiente básico do "middleware php+ mysql+ (como apache, nginx etc.)" com antecedência ao executar o Pikachu. Recomenda -se usar algum software integrado para criar esses ambientes básicos em seu ambiente de teste, como XAMPP, WAMP, etc. Como uma pessoa de segurança, essas coisas não devem ser difíceis para você. Próximo:
-> Coloque a pasta Pikachu baixada no diretório raiz do servidor da Web;
-> Modificar a configuração de conexão do banco de dados em inc/config.inc.php de acordo com as condições reais;
-> Visite h ttp: // xxxx/Pikachu, e haverá um aviso entusiasmado vermelho "Bem-vindo ao uso, o Pikachu ainda não foi inicializado, clique para inicializar a instalação!", Clique para concluir a instalação.

Se você tiver alguma dúvida sobre o uso do Pikachu, poderá consultar no QQ Group: 532078894 (completo), 973351978 (não cheio). Embora você tenha consultado, alguém não pode responder -_-.

Use construções existentes:

docker run -d -p 8765:80 8023/pikachu-expect:latest

Construção local:

如果你熟悉docker,也可以直接用docker部署
docker build -t " pikachu " .
docker run -d -p 8080:80 pikachu

"Menos significa mais, lento significa rápido"

Clique para inserir