-
1.请勿将本系统用于开发项目,系统中存在许多漏洞,仅允许帮助安全研究人员和业余爱好者了解和掌握有关Golang系统的渗透测试和代码审计知识。
1.Do not use this system for development projects, there are many vulnerabilities in the system, only allowed to help security researchers and hobbyists understand and master the penetration testing and code audit knowledge about the Golang system.
-
2.不得用于非法和犯罪活动。
2.It shall not be employed for illegal and criminal activities.
-
3.不要用来提交CVE。
3.Do not use to submit CVE.
前段时间,在用
Golang写Web服务时(通过代审的视角去了解Golang的web服务),发现需要考虑的问题很多,这些问题不仅仅包括运行的问题,还包括一些安全问题,当时就在网上找一些关于Golang的靶场来认识Golang的web服务有没有什么漏洞,但是发现,相对与PHP、Java这些语言的漏洞靶场,goalng的靶场实在是少之又少,所以就有了写一个Golang实战化靶场漏洞,因为觉得单纯的去写一个列表式靶场,不如直接给个场景去探索和发现一个系统是怎么运作,怎么编写和逻辑实现的,这对于实际的漏洞挖掘和代码审计的学习可能更有帮助(个人感觉)。至此出现了最开始的Golang靶场。后来发现既然要做用于代码审计和漏洞挖掘的,那为何不做个多语言实战靶场,虽然场景差不多,但是也可以通过编程语言了解其语言本身的特性和审计思路,同时也会加入一些在
src中出现的漏洞,可以当作src靶场练手。
这是一个集合了多种语言的实战化Web靶场,该系统是以食谱菜单管理系统为场景去编写,一种实战化形式的安全漏洞靶场,其中存在多个安全漏洞,需要我们去探索和发现。该项目旨在帮助安全研究人员和爱好者了解和掌握关于不同语言系统的渗透测试和代码审计知识,如果有好的有意思的漏洞点或者提交src时有不错的漏洞想法,可以提个issue。后面打算再加一些其他的场景进去,在进行代码审计/漏洞挖掘/src教学时就有靶场去练习了。
项目地址:https://github.com/A7cc/Vulnerabilities_Server
项目后面的设想是以这个场景为出发点扩展出其他语言的漏洞靶场,目前只写了Golang、Python语言的漏洞靶场,后面会持续更新,如果您觉得Vulnerabilities_Server对你有些许帮助,请加个⭐,您的支持将是Vulnerabilities_Server前进路上的最好的见证!
不同语言靶场漏洞可能不同这里的漏洞情况,只在对应漏洞靶场的文件夹处显示。
- 后端
进入不同语言文件夹,查看Readme.md部署,然后部署的端口建议8081,因为前端访问的后台端口是8081(可以自己改)。目前至此的语言:
Golang靶场
Python靶场
前端靶场加解密(目前使用的密码学:
md5、aes)
后续计划:
Java靶场
PHP靶场
C#靶场
不错的开源审计项目积累(这个以文件的形式输出,主要收集一些平时觉得适合做代码审计的开源项目)
加一些其他场景的系统,例如:商城、OA等,来扩充在实战化挖掘漏洞的多样性
。。。。。。。。。
Vue前端(可以算是靶场吧。。。加了一些密码学,可以学习js逆向)
如果有node环境的话直接,运行npm install下载组件即可。可能会出现下面这种情况,可以忽略:
如果没有node环境的话,直接用后端的swagger即可运行。
http://localhost:8081/swagger/index.html- 2024/09:最开始的
Golang靶场 - 2025/01:修复了
Golang靶场的一些运行问题(非漏洞问题),添加了前端的加解密,添加了Python靶场(原本想的是写好一大把再上传,但是感觉还是慢工出细活好一点,慢慢的积累)