ASYRV está diseñado para comprender los siguientes problemas de seguridad.
- Enumeración de WSDL
- Inyección SQL (Error) - SOAP
- Inyección SQL (Ciegas) - SOAP
- nyección Comandos OS - SOAP
- Inyección Objetos - SOAP
- Carga de Archivos - SOAP
- XSS-Reflejado -SOAP
- XSS-Almacenado- SOAP
- SSRF/XSPA - SOAP
- RDO - SOAP
- Inyección SQL (Error) - REST
- Inyección SQL (Ciegas) - REST
- Inyección Comandos OS - REST
- Inyección Objetos - REST
- Carga de Archivos - REST
- XSS-Reflejado -REST
- XSS-Almacenado- REST
- SSRF/XSPA - REST
- RDO - REST
- Inyección XPATH
- Inyección XXE
- Bomba XML
No alojes esta aplicación en linea ni en el entorno de producción. ASYRV es una aplicación de Web Services totalmente vulnerable y el acceso en línea de esta aplicación podría llevar a un completo compromiso de su sistema. No somos responsables de dichos incidentes. Mantengase a salvo por favor !
Este trabajo esta bajo la licencia GNU GENERAL PUBLIC LICENSE Version 3 Para ver una copia de esta licencia visita http://www.gnu.org/licenses/gpl-3.0.txt
ASYRV es fácil de instalar y Puede ser configurado Linux por el momento. Los siguientes son los pasos básicos que debes seguir en tu entorno Para la instalacion. Puedes usar WAMP, XAMP o cualquier cosa Apache-PHP-MYSQL para que funcione correctamente
Copie la carpeta asyrv en su directorio web raíz. Asegúrese de que el nombre del directorio sea asyrv. Realice los cambios necesarios en asyrv/config.php para la conexión a la base de datos. Ejemplo a continuación:
Instalacion dependencias:
sudo apt-get install php-json php-xml php-soap php-mysql
Levantamos el servidor apache2 y mysql:
Instalacion dependencias:
service apache2 start
service mysql start
Descarga del proyecto:
cd /var/www/html
git clone https://github.com/SVelizDonoso/asyrv.git
chmod 755 asyrv/
cd asyrv
Luego se debe crear la base de datos con los siguientes comandos:
mysql -u root
CREATE DATABASE asyrvdb;
CREATE USER 'asyrv'@'localhost' IDENTIFIED BY 'asyrv';
GRANT ALL PRIVILEGES ON * . * TO 'asyrv'@'localhost';
FLUSH PRIVILEGES;
Luego se debe cambiar los parametros de la base de datos en el archivo config.php
nano config.php
$ASYRV_WEBROOT = '';
$host = "localhost";
$dbname = 'asyrvdb';
$user = 'asyrv';
$pass = 'asyrv';
Realice los siguientes cambios en el archivo de configuración de PHP.
nano /etc/php/7.2/apache2/php.ini
file_uploads = on
allow_url_fopen = on
allow_url_include = on
Reiniciar el servidor apache2
service apache2 restart
Acceso a la Web : http://localhost/asyrv/ Configure la base de datos y la tabla accediendo http://localhost/asyrv/setup/ Detalles del Acceso:
admin:admin
asyrv:asyrv
user:vulnerable
http://webm.land/media/JP0C.webm
ASYRV está diseñado intencionalmente con muchos fallos de seguridad y suficiente fundamento técnico para mejorar el conocimiento de la seguridad de los Web Services. La idea es evangelizar los problemas de seguridad que afecta esta tecnología. Sus sugerencias son importantes para mejora esta app y si te gustaría ver cualquier otra vulnerabilidad en el proyecto, envíame tu idea para tenerla en cuenta en futuros lanzamientos de ASYRV.
- Sebastian Veliz Donoso https://www.linkedin.com/in/sebastianvelizdonoso/
- Correo: [email protected]
- Yussef Dajdaj