前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何使用crAPI学习保护API的安全

如何使用crAPI学习保护API的安全

作者头像
FB客服
发布2023-03-30 19:30:21
8540
发布2023-03-30 19:30:21
举报
文章被收录于专栏:FreeBuf

 关于crAPI 

crAPI是一个针对API安全的学习和研究平台,在该工具的帮助下,广大研究人员可以轻松学习和了解排名前十的关键API安全风险。因此,crAPI在设计上故意遗留了大量安全漏洞,我们可以通过 crAPI学习和研究API安全。

crAPI采用了现代编程架构,该工具基于微服务架构构建,只需建立一个账号,即可开启我们的API安全研究之旅。

crAPI的挑战是让您尽可能多地发现和利用这些漏洞,破解crAPI有两种方法-第一种是将其视为一个完整的黑盒测试,在那里你不知道方向,只是尝试从头开始理解应用程序并进行破解。第二种方法是先了解crAPI提供的漏洞,然后自己动手尝试去利用它们。

 crAPI包含的漏洞 

BOLA漏洞 错误的用户认证 过度数据暴露 频率限制 BFLA 批量赋值 SSRF NoSQL注入 SQL注入 未经授权的访问 两个隐藏挑战

 crAPI安装 

Docker

Linux设备-最新稳定版:

代码语言:javascript
复制
curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.ymldocker-compose pulldocker-compose -f docker-compose.yml --compatibility up -d(向左滑动,查看更多内容)

Windows设备-最新稳定版:

代码语言:javascript
复制
curl.exe -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.ymldocker-compose pulldocker-compose -f docker-compose.yml --compatibility up -d(向左滑动,查看更多内容)

Vagrant

我们还可以在虚拟机中运行crAPI,这样可以保证crAPI的运行与系统隔离,此时我们需要安装Vagrant。

首先,使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/OWASP/crAPI.git

接下来,开启crAPI虚拟机:

代码语言:javascript
复制
$ cd deploy/vagrant && vagrant up

最后,访问下列地址即可使用crAPI:

代码语言:javascript
复制
http://192.168.33.20

注意:所有的电子邮件都会发送至mailhog服务,可以访问http://192.168.33.20:8025进行查看。

当我们使用完crAPI之后,就可以使用下列命令将crAPI从系统中删除了:

代码语言:javascript
复制
$ cd deploy/vagrant && vagrant destroy

 许可证协议 

本项目的开发与发布遵循Apache-2.0开源许可证协议。

 项目地址 

crAPI:https://github.com/OWASP/crAPI

参考资料:

https://www.vagrantup.com/downloads https://www.virtualbox.org/wiki/Downloads

精彩推荐

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-09-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  •  关于crAPI 
  •  crAPI包含的漏洞 
  •  crAPI安装 
    • Docker
      • Vagrant
      •  许可证协议 
      •  项目地址 
      • 参考资料:
      相关产品与服务
      容器服务
      腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档