oliverklee/insecurity

由一些功能连接起来的包含大量安全漏洞的Web应用程序

维护者

详细信息

github.com/oliverklee/insecurity

主页

源代码

问题

安装: 6

依赖: 0

建议者: 0

安全: 0

星标: 1

关注者: 3

分支: 5

公开问题: 21

类型:项目

dev-master 2020-04-30 10:26 UTC

Requires

Requires (Dev)

GPL-3.0-or-later 2ce8946cdb5159aa4a5ce4b0d299cf9e554d3695

securityexampleexercise

This package is auto-updated.

Last update: 2024-08-29 04:43:06 UTC

README

Build Status Latest Stable Version Total Downloads Latest Unstable Version License

这究竟是怎么回事?

该项目是一个由一些功能连接起来的包含大量安全漏洞的Web应用程序。

该项目被创建为一个PHP Web安全研讨会教育资源。你可以以多种方式使用它

  • 向参与者展示漏洞及其修复方法
  • 让参与者寻找漏洞
  • 让参与者修复漏洞

警告

永远不要将此项目部署到任何可以公开访问的Web服务器上。你的服务器将会被黑。

如何使用此项目进行学习

为了学习尽可能多的知识(例如,在Web应用程序安全研讨会中),我建议你按照以下顺序进行练习

  1. 安装应用程序并尝试在不阅读代码和不使用任何自动漏洞扫描工具的情况下找到尽可能多的漏洞。只需使用应用程序前端(未登录,然后使用user登录和admin登录)。使用浏览器插件来帮助您操作请求和读取网站源代码。

  2. 通过阅读代码尝试找到更多的漏洞。

  3. 通过使用自动漏洞扫描工具尝试找到更多的漏洞。

  4. 将你在前两步中找到的漏洞列表与solutions分支中可用的列表进行比较。

  5. 修复漏洞。

安装

  1. 安装Vagrant并运行vagrant up
  2. vagrant ssh
  3. cd /var/www/
  4. composer install
  5. 从虚拟机中注销。
  6. 你现在可以访问你的不安全网站:http://192.168.33.10/
  7. 你可以用admin@example.com / 12345678user@example.com / asdfqwer登录。

重置数据库

在运行vagrant up时,数据库及其内容将自动创建。

如果你需要从头开始重新构建数据库,请按照以下步骤操作

  1. vagrant ssh
  2. sh /var/www/db/setup-database.sh
  3. 从虚拟机中注销。

漏洞列表

solutions分支的Vulnerabilities.md文件中有漏洞列表(以免你在找到漏洞之前意外看到解决方案)。

关于我(Oliver Klee)

我曾是我是TYPO3安全团队的一员,也是PHPUnit TYPO3扩展的维护者,该扩展可在TYPO3扩展库(TER)中找到。

您可以在您的公司预订我的研讨会

我还经常在TYPO3开发者日举办研讨会。

贡献

以修复漏洞、更多漏洞或以pull请求形式进行的清理方式做出的贡献总是受欢迎的。

请勿报告任何安全漏洞,也请勿提交包含安全修复的pull请求 - 您没有抓住重点。

许可证

应用程序许可协议为Gnu公共许可(GPL)V3。

包含的Twitter Bootstrap和jQuery许可协议为MIT许可(MIT)。