[Мои разработки] Vulnerable Web App - Учебное приложение (v3.0) Предоставляю Вашему вниманию веб-приложение для изучения типичных уязвимостей веб-безопасности. Только для образовательных целей! Vulnerable Web App - это образовательная платформа для изучения веб-уязвимостей, разработанная для специалистов по информационной безопасности, студентов и всех, кто интересуется веб-безопасностью. Проект представляет собой набор интерактивных лабораторий, которые позволяют пользователям практиковать обнаружение и эксплуатацию различных уязвимостей в безопасной среде. 🚨 Предупреждение Это приложение содержит намеренные уязвимости и должно использоваться только в учебных целях в изолированной среде. Не размещайте его на публичных серверах! 📋 Содержание Приложение демонстрирует следующие уязвимости: 1. Уязвимости аутентификации (SQL-инъекции, слабые пароли) 2. Файловые уязвимости (Path Traversal, небезопасная загрузка) 3. API уязвимости (недостаточная аутентификация, Mass Assignment) 4. Cross-Site Scripting (XSS) - Reflected XSS - Stored XSS - DOM-based XSS 5. Cross-Site Request Forgery (CSRF) 6. Server-Side Request Forgery (SSRF) 7. Нарушение контроля доступа (IDOR) ⭐ новое 8. JWT (JSON Web Token) уязвимости ⭐ новое 9. XXE (XML External Entity) инъекции ⭐ новое 10. NoSQL инъекции ⭐ новое 🔄 Что нового в версии 3.0 В третье обновление добавлены 4 новых типа уязвимостей: - IDOR (Insecure Direct Object References): изучите, как злоумышленники могут получать доступ к чужим данным путём прямого указания идентификаторов объектов - JWT уязвимости: исследуйте проблемы безопасности с JSON Web Token, включая подделку токенов и использование "none" алгоритма - XXE инъекции: узнайте, как злоумышленники могут использовать XML-парсеры для чтения системных файлов и выполнения других атак - NoSQL инъекции: изучите уязвимости, специфичные для нереляционных баз данных, в частности MongoDB Основные обновления: - Добавлена новая лаборатория по NoSQL-инъекциям - Четыре уровня сложности заданий для изучения уязвимостей MongoDB - Практические задания по обходу аутентификации, манипуляции операторами и инъекциям в агрегационный конвейер - Подробные решения с примерами кода в едином стиле - Улучшенный интерфейс всех лабораторий - Переработан дизайн раздела решений в хакерском стиле - Улучшена навигация между заданиями - Добавлены визуальные индикаторы прогресса - Оптимизация и исправления - Исправлены ошибки в работе интерактивных элементов - Оптимизирована загрузка ресурсов 📚 Доступные лаборатории В текущей версии приложения доступны следующие лаборатории: 1. XSS (Cross-Site Scripting) - изучение различных типов XSS-уязвимостей, включая Reflected, Stored и DOM-based XSS 2. SQL Инъекции - практика эксплуатации уязвимостей SQL-инъекций, обход аутентификации и извлечение данных 3. IDOR (Insecure Direct Object References) - изучение уязвимостей контроля доступа 4. JWT (JSON Web Tokens) - исследование уязвимостей в механизмах аутентификации на основе токенов 5. XXE (XML External Entity) - практика эксплуатации XXE-уязвимостей 6. NoSQL Инъекции - НОВОЕ! Изучение уязвимостей в MongoDB и других NoSQL базах данных