vAPI是指易受攻击的不良编程接口,是一种可以自行托管的API,通过练习模拟了OWASP API十大场景。
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/roottusk/vapi
需求
-
PHP
-
MySQL
-
PostMan
-
MITM代理
安装(Docker)
shellCopy codedocker-compose up -d安装(手动)
复制代码
shellCopy codecd <your-hosting-directory>shellCopy codegit clone https://github.com/roottusk/vapi.git设置数据库
将 vapi.sql 导入MySQL数据库
在 vapi/.env 中配置数据库凭据。
启动MySQL服务
运行以下命令(Linux)
shellCopy codeservice mysqld start启动Laravel服务器
进入 vapi 目录并运行以下命令
shellCopy codephp artisan serve设置Postman
-
在Postman中导入
vAPI.postman_collection.json -
在Postman中导入
vAPI_ENV.postman_environment.json
或者
使用公共工作区
https://www.postman.com/roottusk/workspace/vapi/
使用方法
在浏览器中访问 http://localhost/vapi/ 查看文档
发送请求后,请参考Postman中的测试或环境以获取生成的令牌
部署
可用于将应用部署到Kubernetes命名空间。Chart文件位于 vapi-chart 文件夹中。该Chart文件需要一个名为 vapi 的secret,并包含以下数值:
makefileCopy codeDB_PASSWORD: <要使用的数据库密码>DB_USERNAME: <要使用的数据库用户名>示例Helm安装命令:helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml
* 重要提示 *
values.yaml 文件中第232行的 MYSQL_ROOT_PASSWORD 必须与第184行相匹配才能正常工作。
演示活动
即将发布
提及和参考资料
2 https://dsopas.github.io/MindAPI/references/
3 https://dzone.com/articles/api-security-weekly-issue-132
4 https://owasp.org/www-project-vulnerable-web-applications-directory/
5 https://github.com/arainho/awesome-api-security
教程/文章/视频
1 https://cyc0rpion.medium.com/exploiting-owasp-top-10-api-vulnerabilities-fb9d4b1dd471 (vAPI 1.0 文章)
2 https://www.youtube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS (土耳其语) (vAPI 1.1 教程)
3 https://medium.com/@jyotiagarwal3190/roottusk-vapi-writeup-341ec99879c (vAPI 1.1 文章)
致谢
-
图标和横幅使用了