flask vuln

Еще одна цель для практики безопасности. Здесь ничего не странно.

Если вы используете его, обратите внимание: не запускайте это на своем собственном ноутбуке для других людей в качестве цели. Запуск этого приложения будет риском безопасности, если вы это сделаете.

1. Установите Python + колба ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

Или используйте run.sh

Или используйте run_docker.sh (который создает изображение и запускает контейнер). Не забудьте остановить и удалить контейнер после того, как вы закончите.

Наслаждайтесь головоломками на http://localhost:5000

Если вы запустите это для других людей, вам следует добавить --host=0.0.0.0 к параметрам команды Flask для прослушивания всех IP -адресов. Пожалуйста, поймите, что это ставит под угрозу машину, где вы запускаете это приложение и принимаете соответствующие меры.

Колба-это однопоточный сервер разработки. Это означает, что он висит и отстой в обстановке мастерской. В качестве средства, сделайте что -то вроде этого:

1. Настройка сервера Ubuntu на EC2, правильные брандмауэры и т. Д.
2. Настройка IP -хоста для Ansible
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

Это запускает его через стрелобник, который является лучшей реализацией для многопоточного веб-сервера.

Люди должны попытаться решить и выяснить это вручную. Запуск OWASP ZAP сразу же выявит большую часть уязвимостей в этом приложении (как вы можете ожидать, учитывая, что это намеренно мягкая цель для практики), выводя все обучение из опыта.

Смотрите лицензию