iT邦幫忙

2025 iThome 鐵人賽

DAY 9
0

大家好!我目前正在就讀資訊類科系,平常以接觸程式撰寫居多,對於資安領域的技術沒有太多了解/images/emoticon/emoticon16.gif因此希望藉由這30天的機會,以OWASP ZAP作為主要工具,從實際操作和分析,從環境架設、基本掃描到進階弱點發掘,一步步建立資安思維。
  我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞,並理解其背後的原理,以及該如何修復,例如SQL Injection、XSS等,讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。


今日內容概要:

  1. 使用ZAP嘗試對DVWA的登入進行弱密碼測試
  2. 介紹字典攻擊(Dictionary Attack)與暴力破解
  3. 使用ZAP Fuzzer對Login參數進行測試:匯入簡單密碼字典、嘗試找到可登入的帳號
  • 在ZAP History中找到DVWA的POST登入請求
    https://ithelp.ithome.com.tw/upload/images/20250907/20169022v4bhS7o5ky.png
  • 將請求標記為Context的表單登入
    https://ithelp.ithome.com.tw/upload/images/20250907/20169022JobsUxH3Ns.pnghttps://ithelp.ithome.com.tw/upload/images/20250907/201690227xwxcsfxTC.png
  • 用Fuzzer對登入密碼做字典測試—匯入密碼字典檔
    https://ithelp.ithome.com.tw/upload/images/20250907/2016902256pkWyPFJl.png
  • 用Fuzzer對登入密碼做字典測試—字典內容作為payload列表
    https://ithelp.ithome.com.tw/upload/images/20250907/20169022VUKgV79Rph.png
  • ZAP用提供的字典內容,逐一替換密碼並送出請求
    https://ithelp.ithome.com.tw/upload/images/20250907/20169022JktWV70kUp.png

結果分析

前提:DVWA的網站預設帳號為admin;密碼為password。

  • (成功例子)字典清單中的密碼password,測試結果:成功登入,原因:response Header中set-cookie的PHPSESSID直接相同,如下方附圖。
    原登入POST的:
    https://ithelp.ithome.com.tw/upload/images/20250915/201690222XCOzuYBoH.png
    Fuzzer結果中測試密碼為password:
    https://ithelp.ithome.com.tw/upload/images/20250915/20169022lf1irneUt4.png
  • (失敗例子)字典清單中的密碼abc123,測試結果:登入失敗,原因:response Header中set-cookie的PHPSESSID不相同,如下方附圖。
    https://ithelp.ithome.com.tw/upload/images/20250915/20169022V41E0zpY3W.png

補充:字典攻擊(Dictionary Attack)

是一種暴力破解(Brute Forcing)的攻擊方式,指攻擊者用常見的詞彙、數字、語句組合清單,進行攻擊、破解密碼,通常為節省時間及控制猜測範圍,會利用「常見密碼清單(字典)」來逐一測試。


上一篇
Day08—ZAP 攻擊面探索與Session管理
下一篇
Day 10—ZAP Policy調整與客製化掃描
系列文
資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言