Tiredful, Una API Vulnerable

Tiredful API

Tiredful API

Cómo hemos dicho muchas veces, sin hacer no se aprende. Leer es un hábito que todos debemos desarrollar y cultivar, pero cuando hablamos de tecnología, si sólo lees y no pruebas, practicas, rompes, etc, no aprenderás mucho.

Ya hemos publicado algunas entradas (vulnerable, pentesting, etc) con aplicaciones vulnerables de forma intencionada para el beneficio del que desea practicar y aprender. En este caso os hablamos sobre otra de estas aplicaciones, aunque esta vez es una REST API.

Conocer como funcionan las APIs REST es fundamental, sobre todo para desarrolladores y auditores de seguridad, cualquiera que sea el color de tu equipo. Hay quien dice que las APIs son los nuevos blogs para las empresas, y que prácticamente cualquier empresa debería tener su propia API.

Tiredful-API es una REST API intencionadamente vulnerable. Está escrita en Python con Django y actualmente contiene las siguientes vulnerabilidades:

  • Information Disclosure.
  • Insecure Direct Object Reference.
  • Access Control.
  • Throttling.
  • SQL Injection (SQLite).
  • Cross Site Scripting.

El código está disponible en Github, junto con las instrucciones de cómo ejecutarla.

Pero si no te encuentras cómodo con Python y Django, o simplemente no quieres instalar ninguna de las dependencias que necesitas, puedes usar una imagen Docker que he creado y que puedes ejecutar con un simple comando:

docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

Evidentemente necesitas tener Docker instalado. Si tu usuario no es parte del grupo de Docker o no tienes privilegios elevados, necesitarás prefijar el comando anterior con sudo.

sudo docker container run -it --rm -p 8000:8000 tuxotron/tiredful-api

Una vez hayas ejecutado dicho comando, puedes acceder a la aplicación yendo a http://localhost:8000.

Si te atascas y necesitas un poco de ayuda, puedes acceder a las soluciones, pero inténtalo y no te des por vencido muy rápido.