Tiredful, Una API Vulnerable
Cómo hemos dicho muchas veces, sin hacer no se aprende. Leer es un hábito que todos debemos desarrollar y cultivar, pero cuando hablamos de tecnología, si sólo lees y no pruebas, practicas, rompes, etc, no aprenderás mucho.
Ya hemos publicado algunas entradas (vulnerable, pentesting, etc) con aplicaciones vulnerables de forma intencionada para el beneficio del que desea practicar y aprender. En este caso os hablamos sobre otra de estas aplicaciones, aunque esta vez es una REST API.
Conocer como funcionan las APIs REST es fundamental, sobre todo para desarrolladores y auditores de seguridad, cualquiera que sea el color de tu equipo. Hay quien dice que las APIs son los nuevos blogs para las empresas, y que prácticamente cualquier empresa debería tener su propia API.
Tiredful-API es una REST API intencionadamente vulnerable. Está escrita en Python con Django y actualmente contiene las siguientes vulnerabilidades:
- Information Disclosure.
- Insecure Direct Object Reference.
- Access Control.
- Throttling.
- SQL Injection (SQLite).
- Cross Site Scripting.
El código está disponible en Github, junto con las instrucciones de cómo ejecutarla.
Pero si no te encuentras cómodo con Python y Django, o simplemente no quieres instalar ninguna de las dependencias que necesitas, puedes usar una imagen Docker que he creado y que puedes ejecutar con un simple comando:
docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api
Evidentemente necesitas tener Docker instalado. Si tu usuario no es parte del grupo de Docker o no tienes privilegios elevados, necesitarás prefijar el comando anterior con sudo.
sudo docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api
Una vez hayas ejecutado dicho comando, puedes acceder a la aplicación yendo a http://localhost:8000.
Si te atascas y necesitas un poco de ayuda, puedes acceder a las soluciones, pero inténtalo y no te des por vencido muy rápido.
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec