iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 28
0
自我挑戰組

What a good thing we lose? What a bad thing we knew?系列 第 28

【Day 28】 淺談網頁滲透測試工具──OWASPZAP

大家好,今天跟大家學習如何使用OWASPZAP。

OWASPZAP是一個開源的 Web應用程序安全掃描程式,它適用於開發網頁的人員,也適用於專業滲透測試人員。

Step 1. 先下載java的相關檔案

https://java.com/zh_TW/download/win10.jsp

Step2. 下載OWASPZAP

https://github.com/zaproxy/zaproxy/wiki/Downloads

Step3. 開啟畫面

https://ithelp.ithome.com.tw/upload/images/20181111/201120005sKrDVNjIz.png

Step4. 掃描網站 (此網站為專用測試網站)
(http://testphp.vulnweb.com/)
此網站是為Acunetix Web Vulnerability Scanner(簡稱AWVS)網頁漏洞掃描公司的測試網站。

https://ithelp.ithome.com.tw/upload/images/20181111/20112000360SYzjT1Z.png

https://ithelp.ithome.com.tw/upload/images/20181111/20112000amrksJ9ib8.png

Step 5. 來看看SQL injection的漏洞吧~
測試入口:
http://testphp.vulnweb.com/login.php

sql injction語法: (--註解後 記得後面多一個空白)

' OR '1'='1' -- 

https://ithelp.ithome.com.tw/upload/images/20181111/20112000865cphsltO.png

Step6. 成功畫面

https://ithelp.ithome.com.tw/upload/images/20181111/20112000A7BDX2QXrf.png

參考網址:
https://www.acunetix.com/websitesecurity/sql-injection/


上一篇
【Day 27】 使用SQL語法 複製 A表的資料到B表
下一篇
【Day 29】 最好的勝利是戰勝自己
系列文
What a good thing we lose? What a bad thing we knew?30

尚未有邦友留言

立即登入留言