.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
使用Node.js,Express Server和EJS模板引擎制作的脆弱应用程序。该应用仅用于教育目的。
设置
克隆此存储库
GIT克隆https://github.com/4auvar/vulnnodeapp.git
应用程序设置:
安装带有NPM的最新node.js版本。打开终端/命令提示符并导航到下载/克隆的存储库的位置。运行Command
db设置
NPM安装
设置基本环境变量
安装并配置最新的MySQL版本,并在MySQL中使用root用户启动MySQL Service/Deamon登录,并在SQL Squl Script: Create Create user'vernnodeapp'@local-host@local-host creation'@'local-host wiake'suppasion'确定。
创建数据库vuln_node_app_db;
授予vuln_node_app_db上的所有特权。
使用vuln_node_app_db;
创建表用户(ID INT AUTO_INCREMENT主键,FullName Varchar(255),用户名Varchar(255),密码VARCHAR(255),电子邮件Varchar(255),Phone Varchar(255),ProfileSepic varchar(255));
插入用户(fullName,用户名,密码,电子邮件,电话)值('test1','test1','[EmailProtected]','976543210');
插入用户(fullname,用户名,密码,电子邮件,电话)值('test2','test2',[emailProtected]','9887987541');
插入用户(fullname,用户名,密码,电子邮件,电话)值('test3','test3',[emailProtected]','9876987611');
插入用户(fullname,用户名,密码,电子邮件,电话)值('test4','test4',[emailProtected]','9123459876');
插入用户(fullName,用户名,密码,电子邮件,电话)值('test5','test 5',[emailProtected]','7893451230');
启动服务器
用户需要设置以下环境变量。database_host(e.g: localhost,127.0.0.1等.)database_name(e.g: vuln_node_app_app_db或db cripts in divabase_user(e.g3333333333333:) DATABASE_PASS (E.g: password or password you change in above DB script)
涉及的漏洞
Open the command prompt/terminal and navigate to the location of your repository Run command: npm start Access the application at http://localhost:3000
todo
SQL Injection Cross Site Scripting (XSS) Insecure Direct Object Reference (IDOR) Command注射任意文件检索正则表达式注入外部XML实体注入(XXE)节点JS避免安全性错误配置INSECURE会话管理
问题
将增加新的漏洞,例如CORS,模板注入等.改进应用程序文档3
贡献
,在应用程序中,在应用程序中,在应用程序中免费创建一个问题。010-1010随时为任何贡献创建拉动请求。你可以通过@4auvar与我联系