dub-flow/secure-code-review-challenges

# 安全代码审查挑战 这个代码库包含了我的安全代码审查挑战的代码。其目的是以与语言无关的方式来审视基本的 Web 漏洞。 如果你喜欢这些挑战，你可能想了解一下我的 [LeoTrace Community](https://community.leo-trace.com/about-community)。注册是免费的，你可以与志同道合的人合作，向我提出任何问题，还有更多功能！ # 所有挑战 ## 图例 🐍 Python ♨️ Java 🐹 Go 🟨 JS (Node.js) 🐘 PHP ⚙️ C / C++ 🐚 Bash 🔴🎬 = 提供了 YouTube 演示视频（你可以在挑战文件夹的 `./solution.md` 中找到链接）。 ## 挑战列表 1. 开放重定向 🐍 -> 🔴🎬 2. 服务端请求伪造 🟨 -> 🔴🎬 3. 弱密码哈希 ♨️ 4. 硬编码凭据 🐍 5. XML 外部实体攻击 ♨️ -> 🔴🎬 6. 跨站脚本攻击 🐹 7. Host 头注入 🟨 -> 🔴🎬 8. Nginx Off-By-Slash 9. 访问控制失效 (IDOR) 🐍 -> 🔴🎬 10. 访问控制失效 (JWT 缺少验证) 🟨 11. 路径规范化绕过 🐍 -> 🔴🎬 12. 未加引号的 Bash 变量 🐍🐚 13. SQL 注入 ♨️ 14. 竞态条件 🟨 -> 🔴🎬 15. HTTP 响应拆分 🐍 16. 通过文件上传实现 RCE ♨️ -> 🔴🎬 17. OS 命令注入 🐹 18. 不安全的反序列化 🐘 19. 服务端模板注入 🐹 20. 本地文件包含 (路径遍历) ♨️ 21. CORS 配置错误 (反射 Origin 头) 🟨 22. Eval 注入 🟨 23. 不安全的反射 ♨️ 24. XSLT 注入 🐍 25. NoSQL 注入 🐹 26. 原型链污染 🟨 27. 整数溢出 ⚙️ 28. Web 缓存欺骗 🟨 29. 大规模赋值 🐍 30. 通过 PDF 渲染器实现的 HTML 注入 🐹 31. Web 缓存投毒 🐹 32. ... 33. ...

标签：AppSec面试, Bash, C2框架, C/C++, CISA项目, CORS配置错误, CTF挑战, FAANG面试, GNU通用公共许可证, Go, Host头注入, HTTP响应拆分, HTTP工具, IDOR, JS文件枚举, JWT安全, LFI, MITM代理, Nginx配置错误, Node.js, NoSQL注入, OpenVAS, PDF生成漏洞, PHP, Python, RCE, Ruby工具, SSRF, SSTI, UML, Web安全, Web报告查看器, Web缓存投毒, Web缓存欺骗, XSLT注入, XSS, XXE, 事务性I/O, 原型链污染, 反序列化漏洞, 命令注入, 安全代码审查, 安全培训, 安全学习资源, 安全靶场, 密码哈希, 应用安全, 开放重定向, 批量赋值, 整数溢出, 文件上传漏洞, 无后门, 日志审计, 漏洞情报, 白盒测试, 硬编码凭据, 竞态条件, 网络安全, 网络安全审计, 自定义脚本, 蓝队分析, 越权访问, 路径遍历, 逆向工具, 隐私保护