貳、ZAP操作---ZAP(二)

一、更新項目

二、相關reference

參見: Day22_掃描 OWASP ZAP
參見:OWASP ZAP掃描工具，入門安裝和操作
參見:網頁滲透測試 OWASP ZAP
(https://www.twblogs.net/a/5d846be4bd9eee541c34a162)
參見:網頁安全性測試：OWASP ZAP使用入門

三、Hitcon找範例

• 去Hitcon --> 公開，找可攻擊網址
• 測試: GIOS TAIWAN 資料庫注入漏洞

四、漏洞分析實作

• 開啟Auto Scan 輸入URL

• 輸入網址 --> Attack按鈕

• 等待一段時間，按下Stop，或是在下方欄位選「加號」，新增「Active Scan」跟「Spider」來看掃描進度

• Report --> Generate report可以生成報告

• Templete可以改成pdf

• 選擇要印出的選項

• Report樣式

由本範例可以看出SQL injection 為最嚴重的問題(等級High)

參、漏洞分析

一、SQL injection

• Alert顯示

• 點擊兩下可以看漏洞說明，Attack部分為攻擊手法
  請不要攻擊非公開在Hitcon的網站，或是請簽NDA保密協議後才可幫忙測試，避免任何法律問題

• 原始網站(https://giostw.com/article01.php?id=1)

• 具描述後攻擊網站(ZAP是以將id改為3-2，但我們改為300比較有明顯差異)，可以看到我們可以藉由SQL injection的方式將網站注入有害程式

二、Absence of Anti-CSRF Tokens

• 網站裡form class(eForm1)的寫法可能會有用戶資料洩漏的問題，因為攻擊者能夠偽造用戶的請求。

線索: <form class="col col-input" action="#" method="post" id="eForm1" name="eForm1">