security demos

该项目基于OWASP 2017年前10名 - 最关键的Web应用程序安全风险，展示了Web应用程序的各种安全问题。

截屏

不要在家尝试！ :)

• （SQL）注射实验室- 播放和了解SQL注入
• 损坏的身份验证实验室- 使用100个最常用的密码的蛮力身份验证
• 敏感的曝光实验室- 了解为什么需要使用彩虹桌 /地点（例如Crack Station）来查找无盐哈希的纯文本值。
• 损坏的访问控制实验室- 如果您忘记正确授权用户并开始猜测URL参数，请查看会发生什么
• 跨站点脚本（XSS）实验室- 如果您允许在页面上运行任意JavaScript，请体验JWT令牌如何被盗
• 方便的脚本来暴力进入，创建种子并创建SHA1哈希

该项目中的代码具有纯粹的教育目的，不应在生产环境中使用！

该项目最初是作为Codaisseur高级类保护Web应用程序的演示项目创建的。后来，它得到了更新，对于网络安全实验室，Kyna和Techmongers采用了维护。

该项目可以通过提供的docker-compose.yaml在Docker本地运行。

克隆存储库，然后运行应用程序容器并安装节点模块：

$ docker-compose run app /bin/bash
$ yarn install
$ exit

然后启动应用程序和Postgres容器：

$ docker-compose up

然后打开http：// localhost：5000，开始crackin'！

应用程序容器取决于PostgreSQL。可能是您第一次从docker-compose启动堆栈时，PostgreSQL容器中的种子花费太长而无法运行该应用程序不会启动。

只需从docker-compose进程中CTRL-C停止它，然后再用docker-compose up命令重新开始。

版权2022-2023 Techmongers BV版权所有2021-2023 Mindgym BV版权所有2017-2022 CODAISSEUR BV

特此免费授予获得此软件副本和相关文档文件副本（“软件”）的任何人，以无限制处理该软件，包括无限制的使用权，复制，复制，修改，合并，合并，发布，分发，分发，分发，订婚，和/或允许软件的副本，并允许对以下条件提供以下条件，以下是以下条件。

上述版权通知和此许可通知应包含在软件的所有副本或大量部分中。

该软件是“原样”提供的，没有任何形式的明示或暗示保证，包括但不限于适销性，特定目的的适用性和非侵权的保证。在任何情况下，作者或版权持有人都不应对任何索赔，损害赔偿或其他责任责任，无论是在合同，侵权的诉讼中还是其他责任，是由软件，使用或与软件中的使用或其他交易有关的。