qryptive/example-vulnerable-app

# Qryptive — 漏洞测试应用示例 一个用于评估 [Qryptive PQC 扫描器](https://github.com/qryptive/pqc-scanner-action) 的参考代码仓库。 `src/` 中的每个文件都包含 **故意设置的加密漏洞**，以便您清晰地看到扫描器能检测到什么。安全分叉 — 此处代码均未实现实际功能。 ## 内容概述 | 语言 | 文件 | 漏洞 | |---|---|---| | Python | [`src/python/legacy_auth.py`](src/python/legacy_auth.py) | MD5, SHA-1, RSA-1024, ECDSA P-256, 经典 RSA | | Java | [`src/java/LegacyCryptoService.java`](src/java/LegacyCryptoService.java) | MD5, SHA-1, DES, RSA-1024, BouncyCastle（依赖项）, JWT（协议） | | Go | [`src/go/crypto_legacy.go`](src/go/crypto_legacy.go) | MD5, SHA-1, DES, RSA-1024, 经典 RSA, JWT | | Terraform | [`src/terraform/kms_weak.tf`](src/terraform/kms_weak.tf) | RSA-2048 KMS 密钥, ECDSA P-256, 已弃用的 TLS 策略, TLS 1.1 | ## 评估工作流程 1. **查看工作流文件**：[`.github/workflows/pqc-scan.yml`](.github/workflows/pqc-scan.yml) — 这与您添加到自己仓库中的内容完全相同（约 25 行）。 2. **查看近期运行**：Actions 选项卡 → "PQC 评估扫描"。扫描器会在推送、Pull Request、每周定时任务以及手动触发时运行。 3. **查看发现结果**：Security 选项卡 → 代码扫描警报。或者查看最新运行的任务摘要。 4. **在自己的代码上尝试**：将 `.github/workflows/pqc-scan.yml` 复制到您的某个仓库中。 扫描器完全在 GitHub Actions 运行器中运行。**您的源代码不会发送给 Qryptive。** 数据处理详情请参阅 [`docs/ENTERPRISE_PRIVACY.md`](https://github.com/qryptive/.github/blob/main/docs/ENTERPRISE_PRIVACY.md)。 ## 您将在 Security 选项卡中看到的内容 每个发现结果包含： - 文件路径和行号 - 算法名称（RSA、MD5、DES 等） - 严重性（严重 / 高危 / 中危 / 低危） - 修复建议："根据 NIST FIPS 203/204，迁移到 ML-KEM-768（密钥交换）或 ML-DSA-65（签名）" - 适用的合规性标签（CNSA 2.0, NIST SP 800-131A, PCI-DSS 4.0） 预期：**本仓库中的四个文件将产生约 30+ 个发现结果。** ## 后续步骤 - **免费版**：继续使用上述工作流 — 本地扫描，结果显示在 Security 选项卡中，无需 Qryptive 账户。 - **AI 消歧 + 仪表盘**：在 [qryptive.ai](https://qryptive.ai) 注册，并在工作流中添加 `pqc_api_key: ${{ secrets.PQC_API_KEY }}`。 - **自动修复 PR**：同时添加 `github_token: ${{ secrets.GITHUB_TOKEN }}` — 存在漏洞的文件将被重写为后量子密码学等效代码，并作为 PR 提交回您的仓库。 *如有疑问，请通过 [qryptive.ai](https://qryptive.ai) 联系我们。*

标签：AES-256, ECS, GitHub Actions, Go, JS文件枚举, PQC扫描, Python, Qryptive, Ruby工具, Terraform, 加密弱点, 后量子密码学, 域名枚举, 安全测试, 密码学, 手动系统调用, 攻击性安全, 无后门, 日志审计, 漏洞评估, 演示项目, 自动笔记, 逆向工具