vAPI：一个自托管的OWASP Top 10漏洞API靶场

关于vAPI

vAPI是一款针对OWASP Top 10漏洞的练习靶场，vAPI项目是一个故意引入了多种漏洞的可编程接口API，广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。

工具要求

PHP MySQL PostMan Mitmproxy

工具安装

Docker安装

docker-compose up -d

手动安装

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/roottusk/vapi.git

cd <your-hosting-directory>

工具配置

数据库配置

将项目中提供的vapi.sql导入到你的MySQL数据库中，并在vapi/.env文件中配置数据库凭证。

开启MySQL服务

下列命令可以在Linux系统上开启MySQL服务：

service mysqld start

开启Laravel服务器

切换到vapi项目目录下，然后运行下列命令即可：

php artisan serve

配置Postman

我们有两种方式来配置Postman，直接将下列两个文件导入到Postman中：

vAPI.postman_collection.json

vAPI_ENV.postman_environment.json

或者直接使用Postman公共工作空间

工具使用

打开浏览器，然后访问“http://localhost/vapi/”。

发送请求后，即可在Postman中查看到请求和令牌内容。

工具部署

我们可以使用Helm来在一个kubernetes命名空间中部署和使用vAPI，此时需要使用下列参数选项值来完成配置：

DB_PASSWORD: <database password to use>

DB_USERNAME: <database username to use>

下面给出的是Helm的安装命令样例：

helm upgrade --install vapi ./vapi-chart --values=./vapi-chart/values.yaml

注意：values.yaml文件第232行的“MYSQL_ROOT_PASSWORD”必须匹配第184行的内容，否则工具将无法正常执行。

使用视频

https://www.you*tube.com/watch?v=0F5opL_c5-4&list=PLT1Gj1RmR7vqHK60qS5bpNUeivz4yhmbS

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

https://github.com/roottusk/vapi

参考资料

https://www.postman.com/roottusk/workspace/vapi/

https://helm.sh/

https://owasp20thanniversaryevent20.sched.com/event/ll1k

https://apisecurity.io/issue-132-experian-api-leak-breaches-digitalocean-geico-burp-plugins-vapi-lab/

https://dsopas.github.io/MindAPI/references/

https://dzone.com/articles/api-security-weekly-issue-132

https://owasp.org/www-project-vulnerable-web-applications-directory/

https://github.com/arainho/awesome-api-security

https://portswigger.net/daily-swig/introducing-vapi-an-open-source-lab-environment-to-learn-about-api-security

https://apisecurity.io/issue-169-insecure-api-wordpress-plugin-tesla-3rd-party-vulnerability-introducing-vapi/