**OWASP NodeGoat** 是一个专为学习和演练 Node.js Web 应用安全的开源项目。它由 OWASP（开放 Web 应用安全项目）发起，旨在帮助开发者了解和实践 OWASP Top 10 Web 应用安全风险，以及如何在 Node.js 应用中有效防御这些常见漏洞。 自行注册后即可使用。 ### 主要特点 - **安全学习环境**：NodeGoat 提供了一个包含真实漏洞的示例应用，开发者可以在本地或云端环境中部署、测试和修复这些漏洞。 - **内置教程**：应用自带详细的中文/英文教程页面，系统讲解 OWASP Top 10 漏洞原理及修复方法。 - **多种部署方式**：支持本地部署（Node.js + MongoDB）、Docker 一键部署、以及 Heroku 云端部署，适合不同学习和实验需求。 - **预置账户**：应用内置了管理员和普通用户账号，方便直接进行安全测试和演练。 - **开放源码**：代码完全开源，便于学习、研究和二次开发。 ### 适用人群 - Web 开发者 - 安全工程师 - 渗透测试人员 - 安全培训讲师 - 对 Web 安全感兴趣的技术爱好者 ### 主要学习内容 - SQL 注入（SQLi） - 跨站脚本（XSS） - 不安全的身份认证与会话管理 - 不安全的直接对象引用 - 安全配置错误 - 敏感数据泄露 - 以及更多 OWASP Top 10 风险