当前位置：首页 > news >正文

VAmPI：一个包含了OWASP Top10漏洞的REST API安全学习平台

news 文章来源：https://blog.csdn.net/text2201/article/details/129050586 2024/11/20 13:21:31

关于VAmPI

VAmPI是一个包含了OWASP Top10漏洞的REST
API安全学习平台，该平台基于Flask开发，该工具的主要目的是通过一个易受攻击的API来评估针对API安全检测工具的有效性，并帮助广大研究人员学习和了解API安全。

功能介绍

1、基于OWASP Top10漏洞专门设计的REST API；

2、包含了OpenAPI3规范和Postman Collection；

3、提供了全局开关，可以控制环境漏洞是否启用；

4、基于令牌的身份验证（就可以在app.py中进行调整）；

工作机制

在VAmPI中，未注册的用户可以看到API中包含的虚拟用户的最少信息。
用户可以注册，然后使用登录期间收到的令牌登录以发布一本书。对于一本发布的书，接受的数据是书名和该书的机密信息。每本书对每个用户都是唯一的，只有书的所有者才可以查看该机密信息。

下面给出的是该工具所包含的全部操作及说明：

** 操作**

** 路径**

** 描述**

—|—|—

GET

/createdb

使用虚拟数据创建并填充数据库

GET

VAmPI首页

GET

/users/v1

显示所有用户的基本信息

GET

/users/v1/_debug

显示所有用户的所有详细信息

POST

/users/v1/register

注册新用户

POST

/users/v1/login

登录VAmPI

GET

/users/v1/{username}

按用户名显示用户

DELETE

/users/v1/{username}

按用户名删除用户（仅限管理员）

PUT

/users/v1/{username}/email

更新单个用户电子邮件

PUT

/users/v1/{username}/password

更新用户密码

GET

/books/v1

检索所有书籍

POST

/books/v1

添加新的书籍

GET

/books/v1/{book}

通过标题和机密信息检索书籍

关于OpenAPI规范的相关内容，可以查看项目中的openapi_specs目录。

VAmPI包含的漏洞

SQL注入

未经授权的密码更改

不安全的直接对象引用（IDOR）

大量赋值

通过调试终端暴露过多数据

用户名和密码枚举

RegexDoS（拒绝服务）

缺乏资源和速率限制

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/erev0s/VAmPI.git

接下来，使用pip3命令并通过requirements.txt文件来安装该工具所需的依赖组件：

pip3 install -r requirements.txt

接下来，直接运行app.py命令即可开启VAmPI：

python3 app.py

除此之外，我们也可以通过Docker或Docker-Compose来使用VAmPI。

使用Docker运行

构建镜像：

docker build -t vampi_docker:latest .

镜像运行：

docker run -d -p 5000:5000 vampi_docker:latest

使用Docker-Compose运行

假设你已经完成了镜像构建，现在我们就可以使用下列命令运行一个单独的安全实例（端口5001）和一个不安全的实例（端口5002）：

docker compose up -d

开启或关闭漏洞环境

Docker运行命令样例如下：

docker run -d -e vulnerable=0 -e tokentimetolive=300 -p 5000:5000 vampire_docker:latest

此时，我们会运行两个实例，我们可以通过“vulnerable=1”来控制哪一个实例包含漏洞。

在Dockerfile中，我们也可以通过设置“ENV vulnerable=1”和“ENV
tokentimetolive=60”来管理环境是否包含漏洞以及令牌超时时间。

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

在这里插入图片描述