大家好!我目前正在就讀資訊類科系,平常以接觸程式撰寫居多,對於資安領域的技術沒有太多了解因此希望藉由這30天的機會,以OWASP ZAP作為主要工具,從實際操作和分析,從環境架設、基本掃描到進階弱點發掘,一步步建立資安思維。
我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞,並理解其背後的原理,以及該如何修復,例如SQL Injection、XSS等,讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。
網址最後一段顯示/xss_d/?default=English
。
name="default"
中的default值,改為輸入簡易playload<script>alert(/ZAP/)</script>
測試XSS漏洞。/xss_d/?<script>alert(%2Fzap%2F)<%2Fscript>=English
,表示攻擊成功。補充:XSS Stored,又稱為XSS Prsistent。
<script>alert(/ZAP/)</script>
測試XSS漏洞,彈出視窗顯示【/ZAP/】.../xss_r/
變成.../xss_r/?name=Tina#
。<script>alert(/ZAP/)</script>
測試XSS漏洞,彈出視窗顯示【/ZAP/】,上方網址最後一段變成.../xss_r/?name=<script>alert(%2FZAP%2F)<%2Fscript>#
。https://medium.com/@clannad716/dvwa-low-level-5355a2d5ca9d
https://blog.csdn.net/m0_56010012/article/details/123663649