VAmPI是一个包含了OWASP Top10漏洞的REST API安全学习平台,该平台基于Flask开发,该工具的主要目的是通过一个易受攻击的API来评估针对API安全检测工具的有效性,并帮助广大研究人员学习和了解API安全。
1、基于OWASP Top10漏洞专门设计的REST API; 2、包含了OpenAPI3规范和Postman Collection; 3、提供了全局开关,可以控制环境漏洞是否启用; 4、基于令牌的身份验证(就可以在app.py中进行调整);
在VAmPI中,未注册的用户可以看到API中包含的虚拟用户的最少信息。用户可以注册,然后使用登录期间收到的令牌登录以发布一本书。对于一本发布的书,接受的数据是书名和该书的机密信息。每本书对每个用户都是唯一的,只有书的所有者才可以查看该机密信息。
下面给出的是该工具所包含的全部操作及说明:
关于OpenAPI规范的相关内容,可以查看项目中的openapi_specs目录。
SQL注入 未经授权的密码更改 不安全的直接对象引用(IDOR) 大量赋值 通过调试终端暴露过多数据 用户名和密码枚举 RegexDoS(拒绝服务) 缺乏资源和速率限制
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/erev0s/VAmPI.git
接下来,使用pip3命令并通过requirements.txt文件来安装该工具所需的依赖组件:
pip3 install -r requirements.txt
接下来,直接运行app.py命令即可开启VAmPI:
python3 app.py
除此之外,我们也可以通过Docker或Docker-Compose来使用VAmPI。
构建镜像:
docker build -t vampi_docker:latest .
镜像运行:
docker run -d -p 5000:5000 vampi_docker:latest
假设你已经完成了镜像构建,现在我们就可以使用下列命令运行一个单独的安全实例(端口5001)和一个不安全的实例(端口5002):
docker compose up -d
Docker运行命令样例如下:
docker run -d -e vulnerable=0 -e tokentimetolive=300 -p 5000:5000 vampire_docker:latest
此时,我们会运行两个实例,我们可以通过“vulnerable=1”来控制哪一个实例包含漏洞。
在Dockerfile中,我们也可以通过设置“ENV vulnerable=1”和“ENV tokentimetolive=60”来管理环境是否包含漏洞以及令牌超时时间。
本项目的开发与发布遵循MIT开源许可证协议。
https://github.com/erev0s/VAmPI
https://erev0s.com/blog/vampi-vulnerable-api-security-testing/
https://editor.swagger.io/
https://www.freepik.com/vectors/party
精彩推荐