如何使用crAPI学习保护API的安全
2022-8-30 14:16:51 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于crAPI

crAPI是一个针对API安全的学习和研究平台,在该工具的帮助下,广大研究人员可以轻松学习和了解排名前十的关键API安全风险。因此,crAPI在设计上故意遗留了大量安全漏洞,我们可以通过 crAPI学习和研究API安全。

crAPI采用了现代编程架构,该工具基于微服务架构构建,只需建立一个账号,即可开启我们的API安全研究之旅。

crAPI的挑战是让您尽可能多地发现和利用这些漏洞,破解crAPI有两种方法-第一种是将其视为一个完整的黑盒测试,在那里你不知道方向,只是尝试从头开始理解应用程序并进行破解。第二种方法是先了解crAPI提供的漏洞,然后自己动手尝试去利用它们。

crAPI包含的漏洞

BOLA漏洞

错误的用户认证

过度数据暴露

频率限制

BFLA

批量赋值

SSRF

NoSQL注入

SQL注入

未经授权的访问

两个隐藏挑战

crAPI安装

Docker

Linux设备-最新稳定版:

curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml

 

docker-compose pull

 

docker-compose -f docker-compose.yml --compatibility up -d

Windows设备-最新稳定版:

curl.exe -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml

 

docker-compose pull

 

docker-compose -f docker-compose.yml --compatibility up -d

Vagrant

我们还可以在虚拟机中运行crAPI,这样可以保证crAPI的运行与系统隔离,此时我们需要安装Vagrant。

首先,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/OWASP/crAPI.git

接下来,开启crAPI虚拟机:

$ cd deploy/vagrant && vagrant up

最后,访问下列地址即可使用crAPI:

http://192.168.33.20

注意:所有的电子邮件都会发送至mailhog服务,可以访问http://192.168.33.20:8025进行查看。

当我们使用完crAPI之后,就可以使用下列命令将crAPI从系统中删除了:

$ cd deploy/vagrant && vagrant destroy

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

crAPI:【GitHub传送门

参考资料

https://www.vagrantup.com/downloads

https://www.virtualbox.org/wiki/Downloads


文章来源: https://www.freebuf.com/articles/security-management/343273.html
如有侵权请联系:admin#unsafe.sh