flask vuln

เป้าหมายอีกประการหนึ่งสำหรับการปฏิบัติด้านความปลอดภัย ไม่มีอะไรแฟนซีที่นี่

หากคุณใช้มันโปรดทราบ: อย่าเรียกใช้สิ่งนี้บนแล็ปท็อปของคุณเองสำหรับคนอื่น ๆ เป็นเป้าหมาย การเรียกใช้แอปพลิเคชันนี้จะเป็นความเสี่ยงด้านความปลอดภัยหากคุณทำ

1. ติดตั้ง Python + Flask ( pip install flask )
2. export FLASK_APP=flask-vuln.py
3. flask run

หรือใช้ run.sh

หรือใช้ run_docker.sh (ซึ่งสร้างภาพและเริ่มคอนเทนเนอร์) อย่าลืมหยุดและถอดคอนเทนเนอร์หลังจากเสร็จสิ้น

เพลิดเพลินกับปริศนาที่ http://localhost:5000

หากคุณเรียกใช้สิ่งนี้เพื่อคนอื่น ๆ คุณควรเพิ่ม --host=0.0.0.0 เพื่อพารามิเตอร์คำสั่ง Flask เพื่อฟังที่อยู่ IP ทั้งหมด โปรดเข้าใจว่าการทำเช่นนั้นทำให้เครื่องตกอยู่ในความเสี่ยงที่คุณเรียกใช้แอปพลิเคชันนี้และใช้มาตรการที่เหมาะสม

Flask เป็นเซิร์ฟเวอร์การพัฒนาแบบเธรดเดียว ซึ่งหมายความว่ามันแขวนและดูดในการตั้งค่าการประชุมเชิงปฏิบัติการ เป็นวิธีการรักษาทำอะไรแบบนี้:

1. ตั้งค่าเซิร์ฟเวอร์ Ubuntu บน EC2 ไฟร์วอลล์ที่เหมาะสม ฯลฯ
2. กำหนดค่า Host IP สำหรับ Ansible
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

สิ่งนี้ทำงานผ่าน Gunicorn ซึ่งเป็นการใช้งานที่ดีกว่าสำหรับเว็บเซิร์ฟเวอร์แบบมัลติเธรด

ผู้คนควรพยายามแก้ไขและคิดออกด้วยตนเอง Running Owasp ZAP จะเปิดเผยช่องโหว่ส่วนใหญ่ในแอปพลิเคชันนี้ทันที (อย่างที่คุณคาดหวังเนื่องจากนี่เป็นเป้าหมายที่อ่อนนุ่มสำหรับการฝึกฝน) เพื่อนำการเรียนรู้ทั้งหมดออกจากประสบการณ์

ดูใบอนุญาต