veracode/vulnerable-verademo-dotnet

VeraDemo.NET - Blab-a-Gag

注意事项

本项目故意设计为存在漏洞！其代码中包含已知的安全漏洞和错误，旨在作为Veracode等软件安全扫描工具的示例项目。请勿报告本项目中的漏洞，这些漏洞很可能是故意设置的 :)。

关于

Blab-a-Gag是一个相当简单的论坛类型应用，允许：

• 用户发布一句话笑话
• 用户可以选择关注或忽略其他用户的笑话
• 用户可以评论其他用户的消息（起哄）

URLs

• /feed - 显示与当前用户相关的笑话/评论
• /blabbers - 显示所有其他用户列表，当前用户可选择关注或忽略
• /profile - 允许当前用户修改个人资料
• /login - 用户登录页面
• /register - 新用户注册页面
• /tools - 工具页面，可显示随机语录或执行主机ping操作

运行方法

下载并运行镜像：

bash
docker run -p 8080:8080 veracode/vulnerable-verademo-dotnet

访问地址：http://127.0.0.1:8080，注册新用户、登录，添加内容和互动。

其他说明

该镜像的源代码托管在https://github.com/veracode-demo-labs/verademo-dotnet%EF%BC%8C%E4%BB%93%E5%BA%93%E4%B8%AD%E5%8C%85%E5%90%AB%E9%A2%9D%E5%A4%96%E6%96%87%E4%BB%B6%EF%BC%8C%E6%B6%B5%E7%9B%96%E5%A6%82%E4%BD%95%E5%88%A9%E7%94%A8%E6%AD%A4%E5%BA%94%E7%94%A8%E4%BB%A5%E5%8F%8A%E5%A6%82%E4%BD%95%E4%B8%BA%E5%90%84%E7%A7%8DCI%E7%B3%BB%E7%BB%9F%E6%9E%84%E5%BB%BA%E6%AD%A4%E5%BA%94%E7%94%A8%E3%80%82

漏洞利用演示

有关如何将此应用与各种Veracode扫描类型配合使用的信息，请参见DEMO_NOTES文件。

另请参见docs文件夹，其中包含对应用中各种漏洞的深入解释。

CI系统演示

本应用包含适用于各种CI系统的构建文件。通常每个CI系统有多个示例构建文件，但至少会有一个"essentials"文件，展示使用Veracode技术打包和扫描应用的基本步骤。

请注意，构建文件中需要设置一些密钥。不同CI系统可能略有差异，但通常包括：

• VERACODE_API_ID 和 VERACODE_API_KEY：用于运行扫描的Veracode用户账户的API凭据。详见此处。
• SRCCLR_API_TOKEN：基于代理的SCA扫描器所需的令牌。详见此处。

技术栈

• ASP.NET Core MVC on .NET Core 3.1
• Sql Server 2017 Express

开发

构建容器：

bash
docker pull mcr.microsoft.com/mssql/server:2017-CU24-ubuntu-16.04
docker build --no-cache -t verademo-dotnet .

本地开发运行容器：

bash
docker run --rm -p 8080:8080 --name verademo verademo-dotnet

然后在浏览器中访问http:\\localhost:8080，注册新用户并添加内容。