iT邦幫忙

2025 iThome 鐵人賽

DAY 10
0
Security

資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)系列 第 10

Day 10—ZAP Policy調整與客製化掃描

  • 分享至 

  • xImage
  •  

大家好!我目前正在就讀資訊類科系,平常以接觸程式撰寫居多,對於資安領域的技術沒有太多了解/images/emoticon/emoticon16.gif因此希望藉由這30天的機會,以OWASP ZAP作為主要工具,從實際操作和分析,從環境架設、基本掃描到進階弱點發掘,一步步建立資安思維。
  我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞,並理解其背後的原理,以及該如何修復,例如SQL Injection、XSS等,讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。


今日內容概要:

  1. 什麼是ZAP的Active Scan Policy?
  2. 建立並使用自訂Policy
  3. 比較「全開策略」vs「特定漏洞策略」的掃描結果

什麼是ZAP的Active Scan Policy?

是ZAP在進行主動掃描Active Scan時,將實際傳送惡意請求來尋找Web應用程式弱點時,要執行的檢查規則和策略,也影響發出的請求數量,以及標記潛在的安全問題。
**補充:**主動掃描只能用於發現某些類型的漏洞,還是需要搭配手動測試去檢查細節。(詳細內容於前面文章已介紹)

建立並使用自訂Policy

打開在ZAP畫面最上方的Analyse-Scan Policy Manager
https://ithelp.ithome.com.tw/upload/images/20250915/20169022PFD6sozvCM.png
建立SQL注入攻擊專用的Policy
https://ithelp.ithome.com.tw/upload/images/20250916/201690228GRnrDFPzV.png
在設定injection處將與SQL injection相關Scanner的threshold及strength設定為Medium
https://ithelp.ithome.com.tw/upload/images/20250916/20169022aF6Ghr58nM.png
設定完成後,在點擊Attack->Active Scan...時,可以選擇剛剛自訂的Policy
https://ithelp.ithome.com.tw/upload/images/20250917/20169022q0olaWCvZ3.png

比較用「預設Policy」及「自訂Policy(SQLi專用)」

針對用時長度、Alerts總數量、高風險、中風險、低風險等進行比較。

使用自訂Policy:
https://ithelp.ithome.com.tw/upload/images/20250917/20169022sMa9zzqq1c.png
使用預設Policy:
https://ithelp.ithome.com.tw/upload/images/20250917/20169022HANFRHzXaf.png

比較結果:

參考文章

https://www.zaproxy.org/docs/desktop/start/features/scanpolicy/


上一篇
Day09—表單驗證與弱密碼測試
下一篇
Day11—滲透測試實作:XSS 漏洞
系列文
資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言