owasp/railsgoat Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
owasp/railsgoat自动构建
owasp
RailsGoat 是一个故意设计的易受***的 Ruby on Rails Web 应用,展示 OWASP Top 10 中的真实安全漏洞,作为开发者和安全专业人员的实战培训平台,用于学习漏洞识别、利用及修复方法。
11 次收藏下载次数: 0状态:自动构建维护者:owasp仓库类型:镜像
RailsGoat
RailsGoat 是一个故意设计的易受***的 Ruby on Rails Web 应用。它展示了 OWASP Top 10 中的真实世界安全漏洞,作为开发者和安全专业人员的实战培训平台。
什么是 RailsGoat?
RailsGoat 是一个特意设计的不安全 Rails 应用,旨在教授 Web 应用安全。通过探索和利用其漏洞,您将学习:
- 常见安全缺陷在 Rails 应用中的表现形式
- 如何通过代码审查和测试识别漏洞
- 如何实施适当的安全控制和修复策略
当前版本: Rails 8.0 搭配 Ruby 3.4.1
包含的漏洞
RailsGoat 展示了 OWASP Top 10 中的真实世界安全漏洞,包括 SQL 注入、跨站脚本(XSS)、身份验证问题、不安全的直接对象引用等。
有关包含详细说明和教程的完整漏洞列表,请访问 RailsGoat Wiki。
快速开始
前提条件
- Ruby 3.4.1
- Git
- SQLite3(默认包含)
- MySQL(可选,某些 SQL 注入演示需要)
刚接触 Ruby? 按照 GoRails 上的安装指南为您的操作系统进行设置。
安装步骤
-
克隆仓库:
bashgit clone [***] cd railsgoat -
安装依赖:
bashgem install bundler bundle install -
设置数据库:
bashrails db:setup -
启动服务器:
bashrails server -
打开浏览器: 导航至
http://localhost:3000开始探索!
其他 Rails 版本
main 分支运行 Rails 8。如需旧版本,请切换分支:
bashgit checkout rails_3_2 # Rails 3.2 git checkout rails_4_2 # Rails 4.2 git checkout rails_5 # Rails 5.x
学习路径
1. 培训模式(推荐给学习者)
运行漏洞测试套件以查看存在哪些安全缺陷:
bashrails training
每个失败的测试都表示一个漏洞。测试输出包含指向 wiki 教程的链接,解释:
- 漏洞的工作原理
- 如何利用它
- 如何修复它
要运行特定的漏洞测试:
bashrails training SPEC=spec/vulnerabilities/sql_injection_spec.rb
2. 探索应用
- 创建账户并登录
- 浏览不同功能
- 尝试访问其他用户的数据
- 尝试各种注入***
- 查看源代码以理解漏洞
3. 从 Wiki 学习
访问 RailsGoat Wiki 获取每个漏洞的详细教程,包括:
- 漏洞说明
- 利用技术
- 代码示例
- 修复步骤
Docker 安装
要求: Docker 和 Docker Compose 1.6.0+
对于 Mac Apple Silicon(ARM64): 必须安装 Rosetta
bashdocker-compose build docker-compose run web rails db:setup docker-compose up
应用将在 http://localhost:3000 可用
故障排除: 如果容器因“服务器已在运行”退出,请从工作目录中删除 tmp/pids/server.pid 后重试。
高级配置
MySQL 环境
某些 SQL 注入漏洞需要 MySQL。要使用 MySQL 运行:
bash# 创建并迁移数据库 RAILS_ENV=mysql rails db:create RAILS_ENV=mysql rails db:migrate # 启动服务器 RAILS_ENV=mysql rails server
邮件测试
RailsGoat 使用 MailCatcher 拦截邮件:
bashgem install mailcatcher mailcatcher
在 http://localhost:1080 查看邮件
贡献者和维护者指南
在维护者模式下运行测试
设置 RAILSGOAT_MAINTAINER 环境变量以验证漏洞是否仍然存在:
bashRAILSGOAT_MAINTAINER="yes" bundle exec rspec
在维护者模式下,当漏洞正确实现时测试通过(与培训模式相反)。
贡献
我们欢迎贡献!请查看我们的 贡献指南 了解详情。
支持
需要帮助?
- 加入 OWASP Slack 频道
- 查看 Wiki 获取教程
- 针对错误或问题提交 issue
项目历史
RailsGoat 的创建旨在展示 Rails 应用中的安全漏洞并教授安全编码实践。它不断更新,经历了 Rails 3、4、5、6 版本,现在是 Rails 8,随着框架的发展保持相关性。
2013 年 11 月完成了向 OWASP Top Ten 2013 的转换。
许可协议
MIT 许可协议
警告: 此应用包含严重安全漏洞。切勿在公共服务器或网络上部署。仅在隔离的培训环境中使用。
owasp/dependency-check
owasp
OWASP Dependency-Check 用于检测项目依赖中公开披露的漏洞。
68 次收藏1000万+ 次下载
1 个月前更新
owasp/modsecurity-crs
owasp
官方OWASP核心规则集Docker镜像(ModSecurity+核心规则集)
111 次收藏500万+ 次下载
6 天前更新
owasp/dependency-check-action
owasp
OWASP Dependency-Check Docker镜像,每日夜间自动更新NVD数据库,用于扫描项目依赖中的已知安全漏洞,提升依赖安全检测的时效性和准确性。
6 次收藏100万+ 次下载
5 天前更新
owasp/threat-dragon
owasp
OWASP Threat Dragon 是一款开源威胁建模工具,可通过 Docker 容器快速部署,帮助团队识别、评估和管理软件项目中的安全威胁。
7 次收藏10万+ 次下载
7 天前更新
owasp/benchmark
owasp
运行OWASP Benchmark的最新版本,自动拉取、构建并运行OWASP BenchmarkJava项目,遵循官方快速启动指南,监听8443端口供外部访问。
14 次收藏10万+ 次下载
1 个月前更新
owasp/nest
owasp
Project Nest 是一个轻量级项目管理与协作平台Docker镜像,提供任务跟踪、团队协作和项目进度可视化功能,支持快速部署和灵活配置,适用于各类团队的项目管理需求。
10万+ 次下载
5 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
镜像拉取问题咨询请 提交工单,官方技术交流群:1072982923
轩辕镜像面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何镜像内容。