大家好！我目前正在就讀資訊類科系，平常以接觸程式撰寫居多，對於資安領域的技術沒有太多了解因此希望藉由這30天的機會，以OWASP ZAP作為主要工具，從實際操作和分析，從環境架設、基本掃描到進階弱點發掘，一步步建立資安思維。
　　我將學習如何利用ZAP自動化掃描及主動掃描常見的資安漏洞，並理解其背後的原理，例如SQL Injection、XSS等，讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。

今日內容概要：

1. 常見網站漏洞介紹 Part2
2. 在Oracle VirtualBox架設Kali-Linux虛擬機
3. DVWA安裝
4. ZAP安裝

常見網站漏洞介紹 Part2

3. CSRF(Cross-Site Request Forgery)跨站請求偽造
   指一種利用「使用者已完成身分驗證(如只有Cookie、Session等)」的特點，冒充使用者執行未經授權的惡意操作。

• 使用者在惡意網站上，滑鼠鼠標、觸控的任一移動或點擊動作，皆可能觸發惡意程式碼執行！

舉例：
以購物網站為例，使用者完成登入一個，只需單一身分驗證的購物網站時，也同時獲得了Cookie並保存在瀏覽器，而使用者未登出購物網站的情況下，開啟了另一個網站(可能是攻擊者設置的惡意網站)，此時攻擊者可以以惡意網站的網域(domain)用購物網站給使用的Cookie，取的購物網站的信任，讓其以為是使用者本人，並對購物網站發出request，例如更改使用者的帳號密碼、竊取使用者個資等。
可能造成的危害： 金融資料(如信用卡號)、個資外洩、發送假訊息、盜用帳號等。
防禦方式：

• 增加驗證方式： 以CSRF Token為例，由使用者名稱與隨機亂數或時戳組成，將Token與Cookie分開放置，讓有添加Token的網頁在送出request時，都需要加上這個Token作為參數，跟request一同傳送給Server，而Server收到後將對Token進行解密再加密，與原先加密後的Token進行對比，如資料、時戳皆一致，Server才會驗證通過。
• 瀏覽器自帶防護： Google在Chrome 51版之後加入的SameSite Cookie功能，在設置Cookie的方式後面加上SameSite。SameSite cookies是HTTP回應標頭(Response Header)中Set-Cookie的屬性之一，此屬性的可能值為Lax、Strict或None。Lax或 Strict值可以阻擋第三方網站攜帶cookie，其中，設置Strict還會限制其他網域(Domain) 來的任何request都不附上Cookie，使cookie就只能單獨在該網站使用；設置Lax則還會限制除了GET外，POST、DELETE、PUT都不能附上Cookie。

在Oracle VirtualBox架設Kali-Linux虛擬機

更新Kali Linux系統

終於成功了！！！
＊　原先打算將ZAP安裝在主機，DVWA安裝在window系統虛擬機的方式，更改成將ZAP及DVWA接搭建在Kali-Linux系統的虛擬機中，而在安裝Kali-linux系統的過程中，除了面臨用官方ISO映像檔進行安裝，總是在安裝環節中的「選擇並安裝軟體」出現報錯的問題，實在找不出原因，而改用官方的vbox檔，卻因電腦記憶體空間不足，無法解壓縮資料夾，於是又花了一些時間去清理記憶體空間，所幸最後成功安裝了......

ZAP安裝

（參考連結二）
安裝ZAP(指令：sudo apt install zaproxy)

DVWA安裝

（參考連結一）


成功安裝好DVWA！！！

參考文章：

連結一：https://www.freebuf.com/sectool/244499.html
連結二：https://go.lightnode.com/zh/tech/install-owasp-zap-in-kali-linux
連結三：https://blog.csdn.net/weixin_43817670/article/details/106630244