# NoteVault

**Repository Path**: PVince/NoteVault

## Basic Information

- **Project Name**: NoteVault
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-04-27
- **Last Updated**: 2026-04-27

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# NoteVault 笔记保险库

一个用于安全研究 / 漏洞扫描测试的 FastAPI 项目，包含 XSS、SSRF、SQL 注入、越权提升、敏感信息泄露五类漏洞。

> ⚠️ 仅供安全学习与测试使用，请勿部署到公网。

## 快速启动

```bash
# 1. 安装依赖
pip install -r requirements.txt

# 2. 启动服务
uvicorn main:app --reload --port 8004 --host 0.0.0.0
```

浏览器访问 http://localhost:8000 即可打开界面。

## 文件结构

```
├── main.py          # FastAPI 路由
├── database.py      # SQLite 初始化
├── models.py        # 请求模型
├── index.html       # 前端页面
└── requirements.txt
```

## 漏洞说明

| 漏洞 | 接口 | 攻击示例 |
|---|---|---|
| SQL Injection | `POST /api/login` | username: `' OR '1'='1' --` |
| XSS（反射型） | `GET /api/notes/search?q=` | `q=<script>alert(1)</script>` |
| SSRF | `POST /api/notes/import` | `url: http://169.254.169.254/latest/meta-data/` |
| Privilege Escalation | `GET /api/notes/{id}` | 请求头加 `X-User-Role: admin` |
| Sensitive Info Disclosure | `GET /api/debug` | 直接访问返回密钥和密码 |

## 测试账号

| 用户名 | 密码 | 角色 |
|---|---|---|
| admin | admin@notebook2024 | admin |
| alice | alice123 | user |