1、SQL 注入 2、跨站点脚本 (XSS) 3、不安全的直接对象引用(IDOR) 4、命令注入 5、任意文件检索 6、正则表达式注入 7、外部 XML 实体注入 (XXE) 8、Node.js 反序列化 9、安全配置错误 10、不安全的会话管理 11、即将增加新的漏洞,例如CORS、模版注入等...
Node.js Express EJS
git clone https://github.com/4auvar/VulnNodeApp.git应用程序设置
npm install数据库设置
CREATE USER 'vulnnodeapp'@'localhost' IDENTIFIED BY 'password';create database vuln_node_app_db;GRANT ALL PRIVILEGES ON vuln_node_app_db.* TO 'vulnnodeapp'@'localhost';USE vuln_node_app_db;create table users (id int AUTO_INCREMENT PRIMARY KEY, fullname varchar(255), username varchar(255),password varchar(255), email varchar(255), phone varchar(255), profilepic varchar(255));insert into users(fullname,username,password,email,phone) values("test1","test1","test1","[email protected]","976543210");insert into users(fullname,username,password,email,phone) values("test2","test2","test2","[email protected]","9887987541");insert into users(fullname,username,password,email,phone) values("test3","test3","test3","[email protected]","9876987611");insert into users(fullname,username,password,email,phone) values("test4","test4","test4","[email protected]","9123459876");insert into users(fullname,username,password,email,phone) values("test5","test5","test5","[email protected]","7893451230");设置基本环境变量
DATABASE_HOST(例如:localhost、127.0.0.1 等...) DATABASE_NAME(例如:vuln_node_app_db 或您在上面的 DB 脚本中更改的 DB 名称) DATABASE_USER(例如:vulnnodeapp 或您在上面的 DB 脚本中更改的用户名) DATABASE_PASS(例如:密码或您在上面的 DB 脚本中更改的密码)
npm starthttp://localhost:3000原文始发于微信公众号(FreeBuf):VulnNodeApp:一款包含大量安全漏洞的Node.js安全练习平台
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论