iT邦幫忙

2025 iThome 鐵人賽

DAY 2
0

大家好!我目前正在就讀資訊類科系,平常以接觸程式撰寫居多,對於資安領域的技術沒有太多了解/images/emoticon/emoticon16.gif因此希望藉由這30天的機會,以OWASP ZAP作為主要工具,從實際操作和分析,從環境架設、基本掃描到進階弱點發掘,一步步建立資安思維。
  我將學習如何利用ZAP自動化掃描及主動掃描常見的資安漏洞,並理解其背後的原理,例如SQL Injection、XSS等,讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。


今日內容概要:

  1. 常見網站漏洞介紹 Part2
  2. 在Oracle VirtualBox架設Kali-Linux虛擬機
  3. DVWA安裝
  4. ZAP安裝

常見網站漏洞介紹 Part2

  1. CSRF(Cross-Site Request Forgery)跨站請求偽造
    指一種利用「使用者已完成身分驗證(如只有Cookie、Session等)」的特點,冒充使用者執行未經授權的惡意操作。
  • 使用者在惡意網站上,滑鼠鼠標、觸控的任一移動或點擊動作,皆可能觸發惡意程式碼執行!

舉例:
以購物網站為例,使用者完成登入一個,只需單一身分驗證的購物網站時,也同時獲得了Cookie並保存在瀏覽器,而使用者未登出購物網站的情況下,開啟了另一個網站(可能是攻擊者設置的惡意網站),此時攻擊者可以以惡意網站的網域(domain)用購物網站給使用的Cookie,取的購物網站的信任,讓其以為是使用者本人,並對購物網站發出request,例如更改使用者的帳號密碼、竊取使用者個資等。
可能造成的危害: 金融資料(如信用卡號)、個資外洩、發送假訊息、盜用帳號等。
防禦方式:

  • 增加驗證方式: 以CSRF Token為例,由使用者名稱與隨機亂數或時戳組成,將Token與Cookie分開放置,讓有添加Token的網頁在送出request時,都需要加上這個Token作為參數,跟request一同傳送給Server,而Server收到後將對Token進行解密再加密,與原先加密後的Token進行對比,如資料、時戳皆一致,Server才會驗證通過。
  • 瀏覽器自帶防護: Google在Chrome 51版之後加入的SameSite Cookie功能,在設置Cookie的方式後面加上SameSite。SameSite cookies是HTTP回應標頭(Response Header)中Set-Cookie的屬性之一,此屬性的可能值為Lax、Strict或None。Lax或 Strict值可以阻擋第三方網站攜帶cookie,其中,設置Strict還會限制其他網域(Domain) 來的任何request都不附上Cookie,使cookie就只能單獨在該網站使用;設置Lax則還會限制除了GET外,POST、DELETE、PUT都不能附上Cookie。

在Oracle VirtualBox架設Kali-Linux虛擬機

https://ithelp.ithome.com.tw/upload/images/20250815/20169022b7C9daoL7S.pnghttps://ithelp.ithome.com.tw/upload/images/20250815/201690228i2y5cfelK.png

更新Kali Linux系統
https://ithelp.ithome.com.tw/upload/images/20250815/20169022BbAYJj9vSq.png
終於成功了!!!
* 原先打算將ZAP安裝在主機,DVWA安裝在window系統虛擬機的方式,更改成將ZAP及DVWA接搭建在Kali-Linux系統的虛擬機中,而在安裝Kali-linux系統的過程中,除了面臨用官方ISO映像檔進行安裝,總是在安裝環節中的「選擇並安裝軟體」出現報錯的問題,實在找不出原因,而改用官方的vbox檔,卻因電腦記憶體空間不足,無法解壓縮資料夾,於是又花了一些時間去清理記憶體空間,所幸最後成功安裝了....../images/emoticon/emoticon06.gif

ZAP安裝

(參考連結二)
安裝ZAP(指令:sudo apt install zaproxy)
https://ithelp.ithome.com.tw/upload/images/20250815/20169022Sh9kuisLxF.png

DVWA安裝

(參考連結一)
https://ithelp.ithome.com.tw/upload/images/20250816/201690223tukA6ANwZ.png
https://ithelp.ithome.com.tw/upload/images/20250816/20169022CyihgtX7FO.png
成功安裝好DVWA!!!

參考文章:

連結一:https://www.freebuf.com/sectool/244499.html
連結二:https://go.lightnode.com/zh/tech/install-owasp-zap-in-kali-linux
連結三:https://blog.csdn.net/weixin_43817670/article/details/106630244


上一篇
Day01—認識OWASP ZAP(Zed Attack Proxy) &網站安全常見漏洞Part1
下一篇
Day03—熟悉ZAP基本操作與掃描測試
系列文
資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言