security demos

Этот проект демонстрирует различные проблемы безопасности с веб -приложениями, основанные на OWASP Top 10 2017 - десяти наиболее важных рисков безопасности веб -приложений .

Скриншот

Не пробуйте это дома! :)

• (SQL) Лаборатория инъекции - Играйте и узнайте о инъекции SQL
• Сломанная лаборатория аутентификации - аутентификация грубой силы с использованием 100 наиболее используемых паролей
• Лаборатория чувствительной экспозиции - Узнайте, почему вам нужно солеть хэши, используя радужные таблицы / сайты, такие как станция трещины, чтобы поиск простых текстовых значений для неслезных хэшей.
• Лаборатория управления Broken Access - посмотрите, что произойдет, если вы забудете должным образом авторизовать пользователей, и пользователи начинают угадывать параметры URL
• Лаборатория сценариев поперечного сайта (XSS) - Познакомьтесь с тем, как можно украсть токен JWT, если вы разрешите запускать произвольный JavaScript на странице
• Удобные сценарии для грубого входа в силу, создания семян и создания хэшей SHA1

Код в этом проекте служит исключительно образовательным целям и не должен использоваться в производственных средах!

Этот проект был первоначально создан в качестве демонстрационного проекта для Advanced Class Codaisseur по обеспечению веб -приложений. Позже он был обновлен, а для лабораторий кибербезопасности и технического обслуживания были приняты Kyna и Techmongers.

Этот проект может работать локально в Docker из предоставленного docker-compose.yaml .

Клонировать репозиторий, затем запустите контейнер приложения и установите модули узла:

$ docker-compose run app /bin/bash
$ yarn install
$ exit

Затем запустите приложение и контейнер Postgres:

$ docker-compose up

Затем откройте http: // localhost: 5000 и начните взломать!

Контейнер приложения зависит от PostgreSQL. Может случиться так, что в первый раз, когда вы запускаете стек из docker-compose , семена в контейнере PostgreSQL занимают слишком много времени, чтобы запустить приложение, приложение не запустится.

Просто CTRL-C Out из процесса скомплектования Docker, чтобы остановить его, затем запустите его снова с команды docker-compose up .

Copyright 2022-2023 TechMongers BV Copyright 2021-2023 MindGym BV Copyright 2017-2022 Codaisseur BV

Настоящим дается разрешение, бесплатно, любому лицу, получающему копию этого программного обеспечения и связанные с ними файлы документации («Программное обеспечение»), чтобы иметь дело в программном обеспечении без ограничений, включая, без ограничения, права на использование, копирование, изменение, объединение, публикацию, распределение, сублиценность и/или продавать копии программного обеспечения и разрешения лиц, на которые программное обеспечение подходит для того, чтобы поступить так, чтобы поступить на следующие условия: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: к следующим условиям: на следующие условия: к следующим условиям: на следующие условия: на следующие условия.

Вышеуказанное уведомление об авторском праве и это уведомление о разрешении должно быть включено во все копии или существенные части программного обеспечения.

Программное обеспечение предоставляется «как есть», без гарантии любого рода, явного или подразумеваемого, включая, помимо прочего, гарантии товарной пригодности, пригодности для определенной цели и несоответствия. Ни в коем случае авторы или владельцы авторских прав не будут нести ответственность за любые претензии, убытки или другую ответственность, будь то в действии контракта, деликт или иным образом, возникающие из или в связи с программным обеспечением или использованием или другими сделками в программном обеспечении.