DVSA — CTF-like приложение для тренировки уязвимостей

Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.

Открыть в Telegram Другие публикации

Автор:Hunt Or Be Hunted

•31 июля 2024 г.

dvsactfvulnapp

Некоторое время назад с ребятами во время проекта написали DVSA - CTF-like приложение по мотивам DVWA.

Представляет собой CTF-интерфейс, в который можно вводить флаги и несколько уязвимых приложений (в контейнерах), содержащие следующие типы уязвимостей:

Business Logic
SQL Injection
Access Control
File Upload
Authentication
Insecure Deserialization
Path Traversal
SSRF
XXE

В общей сложности там 25 уязвимостей. Если есть желание/силы/возможность и пр. - можете потыкать, потренироваться, дать фидбек.

Для запуска нужен docker-compose.

При многочисленных просьбах могу написать райтапы на задания 🙂

#web #ctf #vulnapp #dev

Читайте так же

4 февр. 2026 г.·server-side xss

Server-Side XSS

Разбор Server‑Side XSS: природа уязвимости, где встречается (pdf‑генераторы), возможный импакт — SSRF, LFR, RCE и рекомендации по защите.

Читать публикацию

17 сент. 2024 г.·xxe

XML External Entity (XXE) injection

Краткое объяснение XXE: виды (видимые, слепые, экзотические), пример полезной нагрузки, влияние (SSRF/LFI/RCE) и базовые способы защиты.

Читать публикацию

7 авг. 2024 г.·ctf

Райтапы по бинарной эксплуатации в PicoCTF

Райтапы по бинарной эксплуатации в PicoCTF — на английском, разной сложности, с подробным разбором атак. Ссылка на Notion в посте.

Читать публикацию