OWASP VulnerableApp OWASP VulnerableApp

OWASP Incubator License Java CI with Gradle PRs Welcome Docker Pulls codecov

Поскольку в наши дни веб-приложения становятся всё более популярными, возникает острая необходимость в обеспечении их безопасности. Существует множество инструментов сканирования уязвимостей, однако при их разработке программисты вынуждены тестировать эти инструменты. Кроме того, им необходимо оценивать качество работы инструмента сканирования. На сегодняшний день существует крайне мало уязвимых приложений, пригодных для тестирования таких инструментов. На рынке присутствуют намеренно уязвимые приложения, но они создавались без подобного умысла и потому страдают отсутствием расширяемости — добавление новых уязвимостей в них весьма затруднено.

Как следствие, разработчики вынуждены писать собственные уязвимые приложения, что приводит к потере производительности и многократному выполнению одной и той же работы.

VulnerableApp создан с учётом всех этих факторов. Проект является масштабируемым, расширяемым, простым в интеграции и освоении. Поскольку решение вышеуказанной проблемы требует добавления различных типов уязвимостей, этот проект становится отличной платформой для изучения уязвимостей безопасности.

Пользовательский интерфейс

VulnerableApp-facade UI

Используемые технологии

  • Java 17
  • Spring Boot
  • ReactJS
  • Javascript/TypeScript

Текущий перечень обрабатываемых типов уязвимостей

  1. Уязвимость JWT
  2. Внедрение команд (Command Injection)
  3. Криптографические уязвимости
  4. Уязвимость загрузки файлов
  5. Уязвимость обхода пути
  6. SQL-инъекция
    1. SQL-инъекция на основе ошибок
    2. SQL-инъекция на основе UNION
    3. Слепая SQL-инъекция
  7. XSS
    1. Постоянный XSS
    2. Отражённый XSS
  8. XXE
  9. Открытое перенаправление
    1. На основе HTTP-кода состояния 3xx
  10. SSRF
  11. IDOR

Участие в проекте

Существует несколько способов внести вклад в проект:

  1. Если вы разработчик и только начинаете работу с проектом, рекомендуется ознакомиться со списком задач с меткой good first issue — они станут хорошей отправной точкой.
  2. Если вы разработчик или специалист по безопасности и хотите добавить новый тип уязвимости, запустите команду ./gradlew GenerateSampleVulnerability. Она создаст шаблон с заглушками и комментариями. Изменённые файлы будут указаны в логах команды или в истории git. Перейдите к этим файлам, заполните заглушки и соберите проект, чтобы увидеть результат.
  3. Если вы хотите способствовать росту проекта или его популяризации, не стесняйтесь добавлять свои мысли в раздел обсуждений или в задачи — мы будем рады обсудить их.

Запуск проекта

Существует два способа запустить проект:

  1. Самый простой способ — использовать Docker-контейнеры, которые запустят полноценное VulnerableApp со всеми компонентами:
    1. Загрузите и установите Docker Compose
    2. Клонируйте данный репозиторий GitHub
    3. Откройте терминал и перейдите в корневой каталог проекта
    4. Выполните команду docker-compose pull && docker-compose up
    5. Откройте браузер и перейдите по адресу http://localhost — откроется пользовательский интерфейс VulnerableApp.

    Примечание: Описанные выше шаги запустят последнюю нерелизную версию VulnerableApp. Для запуска последней стабильной версии используйте тег Docker latest.

  2. Другой способ — запустить VulnerableApp как самостоятельное приложение:
    1. Перейдите в раздел релизов на GitHub и загрузите JAR-файл последней версии
    2. Откройте терминал и перейдите в корневой каталог проекта
    3. Выполните команду java -jar VulnerableApp-*
    4. Откройте браузер и перейдите по адресу http://localhost:9090/VulnerableApp — откроется устаревший пользовательский интерфейс VulnerableApp.

Сборка проекта

Проект можно собрать двумя способами:

  1. Как Docker-приложение для запуска полноценного VulnerableApp:
    1. Соберите Docker-образ командой ./gradlew jibDockerBuild
    2. Загрузите Docker-Compose и выполните в той же директории команду docker-compose up
    3. Откройте браузер и перейдите по адресу http://localhost — откроется пользовательский интерфейс VulnerableApp.
  2. Как приложение SpringBoot с Legacy UI или REST API — это удобно для отладки:
    1. Импортируйте проект в вашу IDE и запустите его
    2. Откройте браузер и перейдите по адресу http://localhost:9090/VulnerableApp — откроется устаревший пользовательский интерфейс VulnerableApp для отладки и тестирования.

Подключение к встроенной базе данных H2

Для доступа к базе данных через браузер перейдите по адресу: http://localhost:9090/VulnerableApp/h2

Параметры подключения к базе данных:

JDBC Url: jdbc:h2:mem:testdb
User Name: admin
Password: hacker

Контакты

Если у вас возникли затруднения с какими-либо шагами или с пониманием целей и устройства проекта, напишите на karan.sasan@owasp.org или создайте задачу — мы постараемся помочь.

Документация и ссылки

  1. Документация
  2. Описание архитектуры
  3. OWASP VulnerableApp
  4. Обзорное видео для серии OWASP Spotlight
  5. Обзорное видео

Статьи и блоги

  1. Обзор OWASP-VulnerableApp — статья на Medium
  2. Обзор OWASP-VulnerableApp — пост в Blogspot
  3. Введение в OWASP VulnerableApp от Кэндзи Накадзимы
  4. Платформа Shannon на базе генеративного ИИ, использующая VulnerableApp

Ссылки для устранения неполадок

  1. Reddit: использование уязвимости SQL-инъекции

README на других языках

  1. Китайский
  2. Хинди
  3. Пенджабский