GojoeDHacker/Web-App-Security-Assessments

# Web 应用程序安全评估实验室 ## 📌 项目概述 本仓库包含在定制构建的隔离本地实验室环境中进行的一系列漏洞报告和概念验证（PoC）利用。本项目的目的是展示在现代 Web 应用程序漏洞、渗透测试方法论和专业安全文档方面的实际操作经验。 ## 🏗️ 实验室架构 为了安全地执行这些评估，我设计并配置了一个隔离的双适配器虚拟化网络： * **Hypervisor:** VMware * **攻击机:** Kali Linux（配置 NAT 用于获取工具，配置 Host-Only 用于目标隔离） * **目标基础设施:** 运行故意包含漏洞的现代 Web 应用程序的 Docker Engine。 ## 🛠️ 使用的工具与技术 * **容器化:** Docker & Docker Compose * **利用目标:** OWASP Juice Shop (Node.js/Angular) * **技术:** 手动 payload 注入、输入验证绕过、浏览器端利用。 * **版本控制:** Git & GitHub ## 📂 研究与利用的漏洞 本仓库记录了以下漏洞的成功利用和修复策略： 1. **[通过 SQL 注入 (SQLi) 绕过身份验证](./OWASP-Juice-Shop/SQL-Injection-Login-Bypass/vulnerability-report.md)** * **描述:** 利用登录机制中未经清洗的输入绕过密码验证并获得管理员访问权限。 * **影响:** 完全接管账户以及未经授权访问后端记录。 2. **[基于 DOM 的跨站脚本攻击 (XSS)](./OWASP-Juice-Shop/DOM-Cross-Site-Scripting/vulnerability-report.md)** * **描述:** 利用应用程序搜索功能中未转义的用户输入，在客户端浏览器中执行任意 JavaScript。 * **影响:** 可能导致会话劫持、钓鱼和恶意重定向。 ## ⚠️ 免责声明 本仓库中记录的所有安全评估和利用均严格在合法拥有、本地托管且完全隔离的虚拟环境中进行。本项目严格用于教育目的，并旨在展示专业的网络安全能力。

标签：API密钥检测, CISA项目, Docker, DOM XSS, MITM代理, OPA, OWASP Juice Shop, PNNL实验室, PoC, Web安全, XSS, 反取证, 安全评估, 安全防御评估, 数据展示, 暴力破解, 漏洞复现, 漏洞情报, 漏洞报告, 版权保护, 红队, 网络安全, 网络安全研究, 蓝队分析, 认证绕过, 请求拦截, 跨站脚本攻击, 输入验证, 隐私保护, 靶场