flask vuln

安全實踐的另一個目標。這裡沒有什麼想。

如果您使用它，請注意：不要在自己的筆記本電腦上為其他人作為目標運行。如果您這樣做，則運行此應用程序將是安全風險。

1. 安裝Python +燒瓶（ pip install flask ）
2. export FLASK_APP=flask-vuln.py
3. flask run

或使用run.sh

或使用run_docker.sh （構建圖像並啟動一個容器）。完成後，請記住停止並卸下容器。

在http://localhost:5000享受難題

如果您為其他人（某個地方）運行此操作，則應添加--host=0.0.0.0 flask命令參數以偵聽所有IP地址。請理解，這樣做會使您在運行此應用程序並採取適當措施的情況下將機器處於危險之中。

燒瓶是單線程開發服務器。這意味著它在車間設置中懸掛並吮吸。作為一種補救措施，做這樣的事情：

1. 在EC2，適當的防火牆等上設置Ubuntu服務器。
2. 為Ansible配置主機IP
3. ansible-playbook playbook.yml -i hosts
4. run-gunicorn.sh

這是通過Gunicorn運行的，這是多線程Web服務器的更好實現。

人們應該嘗試手動解決這一問題。運行OWASP ZAP將立即揭示此應用程序上的大多數漏洞（鑑於這是故意的練習目標，您可以期望）將所有學習從體驗中刪除。

請參閱許可證