KIWIGSC/vulnerable-web-lab
GitHub: KIWIGSC/vulnerable-web-lab
一个基于 Node.js 构建的教育型 Web 漏洞靶场,涵盖多种常见 OWASP 漏洞演示及其安全修复方案。
Stars: 0 | Forks: 0
# Vulnerable Web Lab
## 免责声明
本项目仅供教育目的使用。
请勿在生产环境中部署。
## 概述
教育用途的包含漏洞的 Web 应用程序,使用以下技术构建:
* Node.js
* Express
* SQLite
本项目的目标是演示常见的 Web 漏洞、
其利用方法以及安全的修复技术。
## 包含的漏洞
* SQL Injection
* Stored XSS
* Reflected XSS
* IDOR
* Vulnerable File Upload
* Weak Authentication
* CSRF
详细说明和补丁可在 `/docs` 中找到。
## 截图
截图和利用示例可在 `/screenshots` 文件夹中找到。
# 安装与使用
## 环境要求
* Node.js
* npm
检查安装情况:
```
node -v
npm -v
```
## 安装依赖
```
npm install
```
## 运行应用程序
开发模式:
```
npm run dev
```
生产模式:
```
npm start
```
## 访问网站
打开:
```
http://localhost:3000
```
## 故障排除
### npm 未识别
从以下地址安装 Node.js:
```
https://nodejs.org/
```
### 无效的 package.json
请确保您的 `package.json` 包含有效的 JSON 语法。
### 发送 payload 后服务器崩溃
某些 payload 会故意破坏存在漏洞的 SQL 查询。
请重启服务器:
```
npm run dev
```
## 项目结构
```
/docs -> Vulnerability writeups
/screenshots -> Exploitation screenshots
/public -> Static files
/views -> EJS templates
/app.js -> Main application
```
# Vulnerable Web Lab
## 免责声明
本项目仅供教育目的使用。
请勿在生产环境中部署。
## 概述
教育用途的包含漏洞的 Web 应用程序,使用以下技术构建:
* Node.js
* Express
* SQLite
本项目的目标是演示常见的 Web 漏洞、
其利用方法以及安全的修复技术。
## 包含的漏洞
* SQL Injection
* Stored XSS
* Reflected XSS
* IDOR
* Vulnerable File Upload
* Weak Authentication
* CSRF
详细说明和补丁可在 `/docs` 中找到。
## 截图
截图和利用示例可在 `/screenshots` 文件夹中找到。
# 安装与使用
## 环境要求
* Node.js
* npm
检查安装情况:
```
node -v
npm -v
```
## 安装依赖
```
npm install
```
## 运行应用程序
开发模式:
```
npm run dev
```
生产模式:
```
npm start
```
## 访问网站
打开:
```
http://localhost:3000
```
## 故障排除
### npm 未识别
从以下地址安装 Node.js:
```
https://nodejs.org/
```
### 无效的 package.json
请确保您的 `package.json` 包含有效的 JSON 语法。
### 发送 payload 后服务器崩溃
某些 payload 会故意破坏存在漏洞的 SQL 查询。
请重启服务器:
```
npm run dev
```
## 项目结构
```
/docs -> Vulnerability writeups
/screenshots -> Exploitation screenshots
/public -> Static files
/views -> EJS templates
/app.js -> Main application
```
标签:CISA项目, CSRF, EJS, Express, GNU通用公共许可证, IDOR, MITM代理, Node.js, OWASP Top 10, SQLite, Web安全, XML 请求, XSS, 不安全的直接对象引用, 反射型XSS, 存储型XSS, 安全开发, 安全教育培训, 安全防护与补丁, 弱口令, 文件上传漏洞, 漏洞情报, 漏洞靶场, 网络安全, 网络安全实验, 自定义脚本, 蓝队分析, 跨站脚本攻击, 跨站请求伪造, 身份验证缺陷, 防御检测, 隐私保护