**APISandbox/OWASPApiTop10** 是一个专为API安全教学与演练设计的开源靶场项目，涵盖了 OWASP API Top 10 的全部典型漏洞场景。该项目适用于安全研究人员、开发者、测试人员以及高校师生，用于学习、演示和测试API接口常见的安全风险与最佳实践。 自行注册登录后即可使用。 #### 主要特性 - **完整覆盖 OWASP API Top 10**：每个风险点都配有真实可交互的漏洞接口，便于理解和复现漏洞原理。 - **一键部署**：支持Docker快速部署，方便本地或云端环境搭建。 - **Swagger UI 集成**：访问首页自动跳转到Swagger文档，方便接口测试与调用。 - **丰富的使用场景**：适用于安全培训、渗透测试演练、自动化安全工具测试等多种场景。 - **详细的漏洞说明**：每个漏洞点均有详细描述及利用说明，帮助用户快速上手。 #### 覆盖的漏洞类型 1. **对象级授权缺失**：如用户可遍历他人信息 2. **身份认证缺陷**：如SecretKey泄漏导致伪造登录 3. **数据过度暴露**：如接口返回所有用户邮箱 4. **资源与速率限制不足**：如登录接口可被爆破 5. **功能级授权缺陷**：如可获取所有用户详细信息 6. **大规模赋值漏洞**：如可注册为管理员 7. **安全配置错误**：如源码泄漏、静态资源越权访问 8. **注入攻击**：如SQL注入获取敏感信息 9. **资产管理不当**：如历史接口未禁用导致信息泄漏 10. **日志与监控不足**：如恶意接口无日志记录 #### 适用对象 - API开发者与架构师 - 安全测试工程师 - 渗透测试人员 - 高校信息安全相关课程师生