pull-web-app

.github/workflows/deploy.yml

@@ -1,19 +1,28 @@
-name: Deploy Vulnerable Application                                  # workflow name
+name: Deploy Vulnerable Application
+env:
+    VERCEL_ORG_ID: ${{ secrets.VERCEL_ORG_ID }}
+    VERCEL_PROJECT_ID: ${{ secrets.VERCEL_PROJECT_ID }}
 
 on:
   push:
     branches:
       - master
+
 jobs:
-  deploy-heroku:
-    name: Deploy Heroku
-    runs-on: ubuntu-latest
-    steps:
-      - uses: actions/checkout@v2
-      - uses: akhileshns/heroku-deploy@v3.12.12 # This is the action
-        with:
-          heroku_api_key: ${{secrets.HEROKU_API_KEY}}
-          heroku_app_name: "app-vulnerable2022" #Must be unique in Heroku
-          heroku_email: "roxsrossve@gmail.com"
-          remote_branch: "master"
-          usedocker: true
+  deploy-vercel:
+        runs-on: ubuntu-latest
+        steps:
+
+            - uses: actions/checkout@v3
+
+            - name: Install Vercel CLI
+              run: npm install --global vercel
+
+            - name: Pull Vercel Environment Information
+              run: vercel pull --yes --environment=production --token=${{ secrets.VERCEL_TOKEN }}
+
+            - name: Build Project Artifacts
+              run: vercel build --prod --token=${{ secrets.VERCEL_TOKEN }}
+
+            - name: Deploy Project Artifacts
+              run: vercel deploy --prebuilt --prod --token=${{ secrets.VERCEL_TOKEN }}

.github/workflows/docker-image.yml

@@ -0,0 +1,18 @@
+name: Docker Image CI
+
+on:
+  push:
+    branches: [ "master" ]
+  pull_request:
+    branches: [ "master" ]
+
+jobs:
+
+  build:
+
+    runs-on: ubuntu-latest
+
+    steps:
+    - uses: actions/checkout@v3
+    - name: Build the Docker image
+      run: docker build . --file Dockerfile --tag my-image-name:$(date +%s)

general.html

@@ -0,0 +1,60 @@
+<script src="/static/foobar1.js"></script>
+
+<script>
+    var t = new XMLHttpRequest(); 
+    t.open("POST", "/csrf_protected_form", true);
+    t.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded')
+    t.send("recoveryemail=benbitdiddle@mit.edu&csrf_token=f01f3546db1730f866182c2035511010");
+</script>
+
+Lorem ipsum dolor sit amet, consectetur adipiscing elit. Quisque hendrerit tempor luctus. Duis commodo velit id odio porta commodo. Ut suscipit, diam vitae aliquam tristique, leo urna interdum arcu, sed imperdiet ante libero id felis. Curabitur velit ante, pellentesque sit amet orci ut, rhoncus sollicitudin nisi. Morbi feugiat lectus eu nisl semper, vel vehicula sem luctus. Quisque semper vestibulum tempor. Vestibulum nec tellus in sapien finibus faucibus id sit amet magna. Nam venenatis at justo et consequat.
+<br><br>
+Fusce tempor tincidunt luctus. Proin porta viverra arcu nec commodo. Duis auctor lacus ac tellus lobortis, id fringilla nisl efficitur. Aenean convallis nulla non purus bibendum condimentum ac iaculis ligula. Quisque non dolor nulla. Nullam id mi lorem. Nullam convallis leo non mollis ultricies.
+<br<br>>
+Praesent vehicula at nisl at faucibus. Nulla mattis, libero quis cursus tempor, neque velit tincidunt risus, et tristique urna dui eget mi. Maecenas non orci id mauris venenatis tristique. Sed quis iaculis tellus. Cras convallis ac orci sit amet elementum. Sed venenatis diam ut quam pretium rutrum. Morbi semper pretium rhoncus. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nunc accumsan neque non euismod luctus. Vestibulum aliquet vehicula ipsum eget cursus. Nulla a risus vel eros gravida suscipit vitae ornare orci. Donec tincidunt orci ipsum, non tincidunt lacus aliquet ut.
+<br><br>
+
+<center>
+<img src="/static/image1.png" height="75px;">
+</center>
+
+<div class="{{payload}}">
+Sed ut placerat ligula, et feugiat dui. Aenean sapien est, varius et pharetra et, mollis a turpis. Quisque viverra quam a mattis porttitor. Praesent nec commodo massa, in tristique urna. Nullam non elit nec leo congue accumsan vel et massa. Sed vitae lacinia ipsum. Duis sit amet ipsum nec nunc posuere tincidunt id sit amet urna. Etiam molestie mollis erat eget varius. Pellentesque eleifend metus vel tellus suscipit viverra. Nam hendrerit quis orci et convallis. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Duis at neque sed augue fringilla pharetra. Nullam viverra venenatis bibendum. Integer sit amet porttitor dui. Nulla vehicula quis est in maximus. Maecenas in mauris quis erat tincidunt consequat at non metus.
+</div>
+<br><br>
+Nulla dictum nisl sit amet purus commodo, non scelerisque lectus mollis. Phasellus augue felis, pretium at porttitor eget, volutpat in diam. Curabitur at massa eu nibh facilisis rhoncus. Curabitur luctus tincidunt mauris. Donec a nunc eget erat dapibus tempus. Ut feugiat aliquet lorem, ac tempus felis dapibus eget. Sed fringilla metus metus, quis porta lorem scelerisque ac. Nullam aliquet magna vel elit ultrices, aliquam suscipit urna pellentesque. Suspendisse potenti. Quisque aliquam urna erat. Pellentesque eu viverra diam. Nunc elementum velit sit amet rutrum aliquam. Integer vel egestas elit, eget luctus urna. Suspendisse quis nunc quis ipsum elementum {{payload}} posuere.
+<br><br><br>
+Sed vitae dui vulputate, porttitor libero non, lacinia dolor. Morbi semper massa eu vulputate posuere. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Suspendisse blandit lacinia ultrices. Morbi feugiat augue nisl, auctor tristique odio tristique sit amet. Sed mattis commodo lobortis. Nulla molestie, ex in pretium vulputate, enim erat ultrices ligula, eu vehicula massa libero id sapien. Ut ornare, tellus vitae lobortis fermentum, erat massa congue ex, sit amet placerat leo erat ut tellus. Nam consequat magna tellus, vel elementum ex vulputate sed. Morbi gravida, elit et consectetur placerat, lacus arcu tempor purus, vitae consequat ligula diam id justo.
+<br><br>
+Mauris suscipit tellus maximus eros congue, quis consectetur lorem malesuada. Nullam auctor ullamcorper purus. Etiam volutpat est a justo dictum elementum. Ut pulvinar elit convallis, porta quam nec, tempus orci. Aliquam id luctus purus. Praesent consectetur nulla ut lectus consectetur imperdiet. Donec urna libero, tristique quis arcu non, imperdiet ullamcorper dolor. Quisque tempor dui non risus pellentesque, id bibendum erat accumsan. Sed eleifend pretium nulla. Integer iaculis et metus in porttitor. Aenean a neque ultrices, blandit sapien in, posuere risus. Maecenas condimentum mi quis fringilla suscipit. Aliquam dapibus finibus turpis a ullamcorper. {{payload}} Nunc fringilla quam id accumsan tempus. Ut in quam vel lacus finibus maximus.
+<br><br>
+<p>
+<input placeholder="{{payload}}">
+Nulla id luctus turpis. Aenean ac pulvinar erat. In rhoncus sit amet leo et consectetur. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Morbi vehicula venenatis lorem. Pellentesque justo elit, suscipit vel luctus viverra, suscipit quis sapien. Nam lacinia tempor ipsum nec rutrum. Proin et maximus felis, ut consequat libero. Proin eget ornare nunc. Integer at iaculis augue. Phasellus et mauris odio. Morbi a tellus eget nisi dictum semper. Nullam dictum augue non sapien sagittis, eget ullamcorper massa eleifend. Proin quis euismod orci, ut laoreet purus. Nulla iaculis venenatis euismod.
+</p>
+
+<b>
+Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia Curae; Cras eu dui a arcu sodales facilisis. In nulla libero, lobortis nec ornare ut, condimentum sagittis velit. Donec vulputate sed justo nec gravida. Sed accumsan mi ac turpis dictum, a vulputate lacus tempor. Quisque vestibulum diam ac quam rutrum eleifend. Nam egestas dolor leo, vel placerat sem aliquet eget. Etiam at ultrices augue. Quisque finibus tempus venenatis. Fusce sed odio elit. Donec ac ipsum a ipsum varius ultrices in sed lacus. Aenean quis elementum dolor. Pellentesque nunc leo, tempus ac augue sed, mollis feugiat nisi.
+</b>
+<br><br>
+Nullam mattis arcu sapien, sed mollis urna volutpat eget. Fusce mauris ante, scelerisque quis placerat viverra, convallis eu tortor. In placerat ante massa. Quisque cursus tincidunt accumsan. Sed sed posuere nisl, quis porttitor augue. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia Curae; Donec sit amet magna ut dui laoreet ullamcorper et ac neque. Donec vel massa sit amet lorem semper ultrices. Morbi tincidunt a velit sed faucibus. Quisque commodo ex sed mattis dignissim. Integer quis mi in tortor volutpat volutpat. Etiam ullamcorper ligula est, et rutrum lorem aliquam in.
+
+Donec leo leo, consequat id purus in, placerat tempor massa. Duis elementum quam ut convallis ullamcorper. Praesent dapibus libero vitae eros fermentum tincidunt. Vivamus rhoncus sapien sit amet convallis placerat. Mauris in convallis eros. In fringilla consectetur tempus. Aliquam malesuada molestie lobortis. Vivamus ut vestibulum felis. Pellentesque id nisi a justo pharetra accumsan vitae placerat lectus. Sed mauris mauris, pulvinar a nulla mattis, tincidunt eleifend nisi. Quisque eget laoreet orci.
+
+<div name='{{{payload}}}'>Ut porta erat non condimentum sodales. Vivamus et ultricies sem. Aenean sit amet fermentum leo, id dapibus ligula. Quisque ultrices vulputate neque, eu semper ipsum dictum eu. Pellentesque sagittis a mi vel sodales. Cras aliquet elit ac turpis venenatis blandit. Donec aliquam fringilla tristique. Cras fermentum dui ac nulla scelerisque, eget commodo sem imperdiet. Sed imperdiet tortor ac lacus fringilla cursus. Aenean leo turpis, sodales nec ligula eget, placerat mattis nunc. Nullam ut sodales risus, nec placerat lacus. Nulla iaculis in nisi facilisis auctor.</div>
+<br><br>
+Duis ut vehicula nunc. Nullam sagittis interdum lectus eu tempus. Duis lacinia facilisis leo. Cras nec orci quis libero maximus accumsan sit amet eu sapien. Maecenas convallis risus non neque ultricies volutpat. Nam lectus nisi, sollicitudin vitae venenatis sed, accumsan vel sem. Maecenas pharetra velit augue, id sollicitudin magna suscipit a. Nunc sollicitudin elit quis nibh egestas commodo. Proin blandit, lorem ac efficitur fringilla, diam ante facilisis nisl, in semper orci odio id quam. Integer viverra eu neque mollis gravida. Nullam congue, magna sed vehicula feugiat, ex massa ultricies eros, a finibus enim nunc et nulla. Maecenas placerat est a justo consequat, at congue orci pellentesque. Praesent gravida cursus risus, et scelerisque augue tempus sed. Pellentesque elementum, justo at luctus posuere, dui orci lacinia ligula, id sollicitudin metus sem quis arcu.
+<br><br>
+<div id="{{payload}}">In massa urna, malesuada eget tristique sed, fringilla nec turpis. Nullam semper orci neque, sed bibendum sem aliquet sed. Integer enim quam, pulvinar in varius vitae, dictum ac enim. Pellentesque accumsan, ante lobortis pharetra lacinia, libero odio gravida neque, id laoreet lectus velit ut est. Sed elementum eros a eros pharetra aliquam eget vitae lectus. Vestibulum in urna augue. Nam rhoncus eleifend mauris quis tincidunt. Integer et diam ligula. Donec congue lacus at egestas placerat. Duis iaculis magna in purus pellentesque tincidunt. Suspendisse pulvinar magna eget laoreet consectetur. Vestibulum quis ornare est. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos.</div>
+<br><br>
+Aliquam arcu massa, mollis in felis sit amet, ultricies tristique ipsum. Aliquam scelerisque ornare aliquet. Donec tortor lacus, venenatis viverra nisi quis, sodales tempor odio. Nulla vitae velit aliquam, ornare leo vel, blandit risus. Suspendisse potenti. Nam lacinia elementum nisl in eleifend. Fusce sed porttitor ipsum, non fermentum leo. Aenean nulla magna, maximus in arcu ut, accumsan maximus nisl. Pellentesque eleifend faucibus est a pellentesque. Mauris rutrum volutpat metus vel porttitor. Nulla eleifend libero ac rhoncus pretium. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Quisque venenatis vulputate ex et consectetur. Sed et lectus vel sem lacinia dignissim in vitae sapien.
+<br><br>
+Nunc at sapien nulla. Donec eget suscipit est. Vestibulum mollis lacus libero, sit amet sollicitudin augue posuere at. Donec bibendum est eget aliquam pretium. Ut nec lectus volutpat, suscipit nunc in, luctus nunc. Nulla convallis nulla non erat tempus, non malesuada metus fringilla. Mauris facilisis scelerisque auctor.
+<br><br>
+Phasellus malesuada finibus eros nec ultricies. Quisque ut lorem molestie, interdum ante vitae, varius quam. Suspendisse accumsan, velit non convallis imperdiet, est libero varius neque, id aliquet quam massa sed ex. Etiam dignissim cursus dui eget congue. Nunc elementum elit eget purus euismod tincidunt. Aenean fermentum pulvinar consectetur. Donec laoreet enim porta erat facilisis vulputate. Vestibulum eget metus molestie, consectetur sapien sit amet, sagittis velit. Etiam nec turpis porttitor, faucibus erat sed, eleifend mauris. Pellentesque sed vehicula leo, sed ornare velit. Fusce a nisl egestas purus imperdiet auctor id nec lacus. Etiam nec mi vitae ante sollicitudin rhoncus. Integer finibus, dolor vitae sodales placerat, urna erat tempus metus, a ullamcorper urna odio id lorem. Duis suscipit metus vel elementum finibus. Morbi vel arcu tincidunt, facilisis massa a, ornare risus.
+<br><br>
+Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nunc imperdiet sapien lacus, a egestas est vulputate ut. Quisque eu metus et enim pharetra commodo. Proin hendrerit congue turpis a feugiat. Sed vitae tellus risus. Nam faucibus mauris non elementum dictum. Duis mollis, magna in porttitor suscipit, purus felis varius risus, eget pellentesque dolor tellus et purus. In mauris tellus, aliquet vel nulla eget, imperdiet commodo felis. Nullam consectetur diam at tempus egestas. Donec ipsum ligula, ultrices nec finibus vitae, ultricies ac neque. Donec a urna at est imperdiet consectetur vitae at lacus. Praesent pretium mollis eros tempor scelerisque. Ut fringilla luctus urna vel ultrices. Donec elementum molestie libero, euismod dictum ligula maximus sit amet. Morbi gravida dignissim ipsum ut tincidunt. Praesent non mattis mauris, nec mattis felis.
+
+Nullam finibus, purus non accumsan sagittis, quam urna lacinia massa, et gravida turpis leo id ipsum. Maecenas dui tortor, commodo nec suscipit ut, efficitur sit amet augue. Mauris gravida feugiat justo non commodo. Quisque in condimentum justo, vitae placerat lorem. Morbi ac lobortis leo. Nam rutrum, sem at semper sollicitudin, orci libero elementum metus, nec imperdiet erat nibh gravida nunc. Pellentesque condimentum porta ante ac porttitor. Phasellus maximus, nisl quis mollis facilisis, dui odio viverra leo, sit amet posuere sapien ligula vitae augue. Aliquam ut egestas purus. Vivamus lacus lorem, hendrerit et eros vitae, vehicula aliquam leo. Nullam rhoncus placerat massa ac semper.
+<br>
+Pellentesque cursus metus tortor, a pulvinar lectus semper eu. Vestibulum vehicula justo ac ipsum iaculis feugiat. Nulla ac tortor vitae eros mattis vulputate id vehicula neque. In vel risus sodales, eleifend ex non, malesuada mauris. Nam tincidunt odio nunc, pellentesque laoreet urna malesuada vel. Sed vitae aliquam tortor. Suspendisse consectetur magna vitae erat blandit eleifend. Etiam massa sapien, vehicula non augue at, ullamcorper laoreet felis. Sed eu eleifend sem. Fusce blandit erat elit, in fermentum quam viverra ac. Duis aliquam dolor euismod elit suscipit lobortis. Ut vel metus blandit, venenatis erat eget, pharetra massa. Vestibulum et consectetur leo.

head.html

@@ -0,0 +1,22 @@
+<title>Archenzio Vulnerable Web App</title>
+<style>
+    @font-face{
+        font-family:'Lato-Lig';
+        src: url('/static/fonts/Lato-Lig.ttf') format('truetype');
+        font-weight:400;
+        font-style:normal
+    }
+
+    @font-face{
+        font-family:'Lato-Reg';
+        src: url('/static/fonts/Lato-Reg.ttf') format('truetype');
+        font-weight:400;
+        font-style:normal
+    }
+
+    body{
+        font-family: "Lato-Reg";
+    }
+</style>
+
+{{{body}}}

index.html

@@ -0,0 +1,35 @@
+<style>
+    .main{
+        font-family: "Lato-Lig";
+        width: 500px;
+        position: fixed;
+        left: 50%;
+        top: 60px;
+        margin-left: -250px;
+    }
+
+    .header-container{
+
+    }
+</style>
+
+<div class="main"> 
+    <div class="header-container">
+        <h1>EkoParty Hackademy-Archenzio Vulnerable Web App</h1>
+        <h3>Cada Link contiene vulnerabilidades intencionalmente. Juega con cada uno para tener una idea de cómo funcionan.</h3>
+    </div>
+    <br> 
+    <ul> 
+        <li><a href="/views/reflected.html?foobar=Hello%20world!">Reflected XSS Example 1</a></li>
+        <li><a href="/views/reflected1.html?foo=bar">Reflected XSS Example 2</a></li>
+        <li><a href="/views/reflected2.html?foo=bar">Reflected XSS Example 3</a></li>
+        <li><a href="/views/stored.html">Stored XSS Example</a></li>
+        <li><a href="/views/csrf.html">CSRF Example</a></li>
+        <li><a href="/views/fuzz.html">Fuzzing</a></li>
+        <li><a href="/views/auth_bypass.html">Authentication Bypass</a></li>
+        <li><a href="/views/directory_traversal.html">Directory Traversal</a></li>
+        <li><a href="/views/idor.html">Insecure Direct Object Reference (IDOR)</a></li>
+        <li><a href="/views/rce.html">Injections and remote code execution</a></li>
+        <li><a href="/views/general.html?foo=a">Mixed topics</a></li>
+    </ul>
+</div>

views/layouts/head.html

@@ -1,4 +1,4 @@
-<title>Vulnerable Web App</title>
+<title>Archenzio Vulnerable Web App</title>
 <style>
     @font-face{
         font-family:'Lato-Lig';

views/main.html

@@ -15,7 +15,7 @@
 
 <div class="main"> 
     <div class="header-container">
-        <h1>EkoParty Hackademy-Vulnerable Web App</h1>
+        <h1>EkoParty Hackademy-Archenzio Vulnerable Web App</h1>
         <h3>Cada Link contiene vulnerabilidades intencionalmente. Juega con cada uno para tener una idea de cómo funcionan.</h3>
     </div>
     <br>