SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境

admin 2024年12月10日00:16:59评论9 views字数 1218阅读4分3秒阅读模式
SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境
关于SCA-Goat

SCA-Goat是一款一款软件组合分析 (SCA) 应用程序,同时它也一个包含大量安全缺陷的SAC应用程序靶场环境。该工具专注于开发代码中使用的易受攻击和被攻陷的 JAR 依赖项,为用户提供亲身实践的学习机会,以了解潜在的攻击场景。

SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境

SCA-Goat旨在帮助广大研究人员识别易受攻击的 JAR 文件说可能产生的安全问题和漏洞。

功能介绍

SCAGoat 涵盖的 CVE 主要为严重且高危的 CVE,CVSS 评分为 9。除此之外,环境中还会包含存在安全缺陷的软件包,而这些无法被传统的SCA检测工具检测到,也可以帮助进行安全实践:

CVE 软件包名 链接
CVE-2023-42282 IP https://nvd.nist.gov/vuln/detail/CVE-2023-42282
CVE-2017-1000427 Marked https://nvd.nist.gov/vuln/detail/CVE-2017-1000427
CVE-2017-16114 Marked markedjs/marked#926
CVE-2021-44228 log4j https://nvd.nist.gov/vuln/detail/CVE-2021-44228
CVE-2020-9547 jackson-databind https://nvd.nist.gov/vuln/detail/CVE-2020-9547
CVE-2021-33623 trim-newlines https://nvd.nist.gov/vuln/detail/CVE-2021-33623
CVE-2020-13935 spring-websocket https://nvd.nist.gov/vuln/detail/CVE-2020-13935
Malicious Package (No CVE) xz-java https://central.sonatype.com/artifact/io.github.xz-java/xz-java
工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/harekrishnarai/Damn-vulnerable-sca.git

然后切换到项目目录中:

cd Damn-vulnerable-sca

使用以下docker命令为dockerfile构建镜像并运行该镜像以访问应用程序:

docker compose up

访问http://localhost:3000/以使用 nodejs 应用程序,或http://localhost:8080(用于 Springboot 的 log4j)。

工具使用

SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境

项目地址

SCA-Goat

https://github.com/harekrishnarai/Damn-vulnerable-sca

原文始发于微信公众号(FreeBuf):SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月10日00:16:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SCA-Goat:一款包含大量安全缺陷的SAC应用程序靶场环境https://cn-sec.com/archives/3488281.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息