**vulnapi** 是一个**故意设计为极度不安全的 API 应用**，并且特意包含了大量糟糕的编程实践。该项目的主要目的是演示 Python3 编码和运维（如 Docker）中的各种安全漏洞和错误做法，同时也适合作为 DevSecOps 方法的演示和测试平台。 默认账户：luke / tatooine ### 主要特性 - **丰富的安全漏洞**：内置了多种常见且严重的安全漏洞，包括： - 数据泄露（通过触发逻辑问题） - 大量赋值漏洞（Mass Assignment） - 对象级别权限控制缺失 - 认证机制缺陷 - 反序列化导致的远程代码执行（RCE） - SQL 注入 - 文件包含与路径遍历 - **极差的代码实践**：项目代码刻意采用了不推荐的写法，便于安全测试和演示。 - **适合安全演示/培训**：适用于漏洞挖掘、攻防演练、安全自动化测试等场景。