Daniil20xx/OWASP-Fashion-Shop
GitHub: Daniil20xx/OWASP-Fashion-Shop
一个基于 Go 语言的 Web 安全训练靶场,包含 SQL 注入、XSS 和 SSRF 三种 OWASP 漏洞及其 PoC 演示。
Stars: 1 | Forks: 0
# OWASP-Fashion-Shop
一个基于 Go 语言的“服装店”训练 Web 应用,包含三个故意的 OWASP 漏洞:SQL Injection、XSS 和 SSRF。该应用在 Docker 中运行,为每个漏洞创建了安全的 PoC 利用程序,分析了问题的原因并给出了修复建议。
### 项目结构:
```
OWASP-Fashion-Shop/
|--- WebSite
|---|--- main.go
|---|--- docker-compose.yaml
|---|--- Dockerfile
|---|--- go.mod
|---|--- go.sum
|---|--- README_backend.md
|---|--- static/
|---|---|---app.js
|---|---|---index.html
|---|---|---style.css
|---|---|---images - images.png [1-5]
|--- Exploit
|---|--- SSRF.py
|---|--- SQL Injection Payload.txt
|---|--- XSS/
|---|---|--- payload.txt
|---|---|--- evil.py
|--- README.md
```
### 如何开始:
#### 服务器(站点脚本):
```
cd WebSite
docker compose up -d
```
服务器可在 `localhost:8080` 访问
#### XSS 攻击:
```
cd Exploit/XSS/
python evil.py
```
#### SSRF 攻击
```
cd Exploit/
python SSRF.py
```
### 默认凭据:
邮箱 | 密码 | 角色
-|-|-
admin@shop.local | admin123 | admin
alice@example.com | alicepass | User
### 应用功能:
- 商品目录 —— 查看并加入购物车
- 用户个人资料 —— 账户管理
- 购物车 —— 下单
- 管理面板 —— 添加商品(仅限管理员)
- 沙盒攻击 —— 漏洞演示
标签:CISA项目, Docker, Go语言, IP 地址批量处理, SSRF, Web安全, XSS, 多模态安全, 安全培训, 安全防御评估, 实战演练, 教学演示, 数据可视化, 日志审计, 漏洞修复, 漏洞情报, 漏洞靶场, 电商系统, 程序破解, 网络安全, 网络安全培训, 自定义脚本, 蓝队分析, 请求拦截, 逆向工具, 防御检测, 隐私保护