如何使用crAPI学习保护API的安全

 关于crAPI 

crAPI是一个针对API安全的学习和研究平台，在该工具的帮助下，广大研究人员可以轻松学习和了解排名前十的关键API安全风险。因此，crAPI在设计上故意遗留了大量安全漏洞，我们可以通过 crAPI学习和研究API安全。

crAPI采用了现代编程架构，该工具基于微服务架构构建，只需建立一个账号，即可开启我们的API安全研究之旅。

crAPI的挑战是让您尽可能多地发现和利用这些漏洞，破解crAPI有两种方法-第一种是将其视为一个完整的黑盒测试，在那里你不知道方向，只是尝试从头开始理解应用程序并进行破解。第二种方法是先了解crAPI提供的漏洞，然后自己动手尝试去利用它们。

 crAPI包含的漏洞 

BOLA漏洞 错误的用户认证 过度数据暴露 频率限制 BFLA 批量赋值 SSRF NoSQL注入 SQL注入 未经授权的访问 两个隐藏挑战

 crAPI安装 

Docker

Linux设备-最新稳定版：

curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.ymldocker-compose pulldocker-compose -f docker-compose.yml --compatibility up -d（向左滑动，查看更多内容）

Windows设备-最新稳定版：

curl.exe -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.ymldocker-compose pulldocker-compose -f docker-compose.yml --compatibility up -d（向左滑动，查看更多内容）

Vagrant

我们还可以在虚拟机中运行crAPI，这样可以保证crAPI的运行与系统隔离，此时我们需要安装Vagrant。

首先，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/OWASP/crAPI.git

接下来，开启crAPI虚拟机：

$ cd deploy/vagrant && vagrant up

最后，访问下列地址即可使用crAPI：

http://192.168.33.20

注意：所有的电子邮件都会发送至mailhog服务，可以访问http://192.168.33.20:8025进行查看。

当我们使用完crAPI之后，就可以使用下列命令将crAPI从系统中删除了：

$ cd deploy/vagrant && vagrant destroy

 许可证协议 

本项目的开发与发布遵循Apache-2.0开源许可证协议。

 项目地址 

crAPI：https://github.com/OWASP/crAPI

参考资料：

https://www.vagrantup.com/downloads https://www.virtualbox.org/wiki/Downloads

精彩推荐