【開局地端紅隊小白與雲端資安的清晨Punch】Day6 ZAP操作 ---ZAP(二)

2024-08-16 • 技術文章

貳、ZAP操作—ZAP(二)

一、更新項目

二、相關reference

參見: Day22_掃描 OWASP ZAP
參見:OWASP ZAP掃描工具，入門安裝和操作
參見:網頁滲透測試 OWASP ZAP
(https://www.twblogs.net/a/5d846be4bd9eee541c34a162)
參見:網頁安全性測試：OWASP ZAP使用入門

三、Hitcon找範例

去Hitcon –> 公開，找可攻擊網址

測試: GIOS TAIWAN 資料庫注入漏洞

四、漏洞分析實作

開啟Auto Scan 輸入URL

輸入網址 –> Attack按鈕

等待一段時間，按下Stop，或是在下方欄位選「加號」，新增「Active Scan」跟「Spider」來看掃描進度

Report –> Generate report可以生成報告

Templete可以改成pdf

選擇要印出的選項

Report樣式

由本範例可以看出SQL injection 為最嚴重的問題(等級High)

參、漏洞分析

一、SQL injection

Alert顯示

點擊兩下可以看漏洞說明，Attack部分為攻擊手法
請不要攻擊非公開在Hitcon的網站，或是請簽NDA保密協議後才可幫忙測試，避免任何法律問題

原始網站(https://giostw.com/article01.php?id=1)

具描述後攻擊網站(ZAP是以將id改為3-2，但我們改為300比較有明顯差異)，可以看到我們可以藉由SQL injection的方式將網站注入有害程式

二、Absence of Anti-CSRF Tokens

網站裡form class(eForm1)的寫法可能會有用戶資料洩漏的問題，因為攻擊者能夠偽造用戶的請求。

線索: