psecio/notch

有漏洞的应用

维护者

详细信息

github.com/psecio/notch

主页

源代码

问题

安装: 16

依赖: 0

建议者: 0

安全: 0

星标: 4

关注者: 3

分支: 3

公开问题: 0

1.0 2014-12-22 22:51 UTC

Requires

Requires (Dev)

MIT aebe8726426b2fccb8809c952996c8d6d8f5e3b7

securityapplicationvulnerable

This package is auto-updated.

Last update: 2024-09-15 10:20:15 UTC

README

Notch 是一个仅用于培训目的的易受攻击的 PHP 应用程序。**请勿**在生产环境中部署此应用程序,因为它存在许多已知的漏洞,可能导致您的系统被破坏。

手动安装

您可以通过以下几个简单步骤手动安装 Notch 实例

  1. 将代码库通过 git clone 复制到可访问的 Web 目录,例如 /var/www/notch
  2. 运行 composer.phar install 获取所有依赖项
  3. 创建所需的数据库
mysqladmin create notch;
mysql -u root -p -e "grant all on notch.* to 'notch'@'localhost' identified by 'notch42'";
  1. 运行迁移:vendor/bin/phinx migrate

这应该能让您运行起基本的网站和部分内容。

Vagrant 安装

vagrant/ 目录中提供了一个 Vagrant 设置,使其在克隆后只需一个命令即可安装

cd vagrant; vagrant up

但要注意一点 - Vagrant 设置使用基于名称的虚拟主机,因此您需要将其添加到 /etc/hosts

192.168.1.100 notch.localhost

漏洞

Notch 应用程序中故意包含了一些基于 OWASP Top 10 列表的安全漏洞,包括

  • SQL 注入(A1)
  • Broken Authentication & Session Management(A2)
  • Cross-site scripting(A3)
  • Insecure Direct Object References(A4)
  • Sensitive Data Exposure(A6)

应用程序中有些地方放置了带有“提示”一词的注释,以帮助您定位问题。由于这是在 PHP Benelux 会议的教程中使用,所以我暂时不会展示它们 :)