iT邦幫忙

2025 iThome 鐵人賽

DAY 11
0
Security

資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)系列 第 11

Day11—滲透測試實作:XSS 漏洞

  • 分享至 

  • xImage
  •  

大家好!我目前正在就讀資訊類科系,平常以接觸程式撰寫居多,對於資安領域的技術沒有太多了解/images/emoticon/emoticon16.gif因此希望藉由這30天的機會,以OWASP ZAP作為主要工具,從實際操作和分析,從環境架設、基本掃描到進階弱點發掘,一步步建立資安思維。
  我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞,並理解其背後的原理,以及該如何修復,例如SQL Injection、XSS等,讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。


今日內容概要:

  1. 以DVWA Seurity:Low,測試XSS的三種漏洞類型(DOM、Stored、Reflected)。
  2. 以XSS Reflected漏洞測試請求為例,執行Fuzz。

登入DVWA,找到XSS測試頁面

https://ithelp.ithome.com.tw/upload/images/20250918/2016902221vXlcNksF.png

測試XSS(DOM)

網址最後一段顯示/xss_d/?default=English
https://ithelp.ithome.com.tw/upload/images/20250920/20169022N773gS0jVV.png

  • ZAP Active Scan掃描結果:無法進行
    由於XSS DOM漏洞是發生在瀏覽器客戶端的JavaScript,payload從未到過伺服器,整個攻擊是在瀏覽器的 JavaScript與DOM中發生,而ZAP的Active Scan不執行頁面JavaScript,所以無法發現。
  • 手動測試XSS漏洞:
    打開開發者工具,將原下拉選單的程式碼name="default"中的default值,改為輸入簡易playload<script>alert(/ZAP/)</script>測試XSS漏洞。
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022TDkwQSv7eV.png
    輸入完成後,再進行一次語言選擇,並按下Select,網址將變成/xss_d/?<script>alert(%2Fzap%2F)<%2Fscript>=English,表示攻擊成功。
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022pW9P0ZFjQB.png

測試XSS(Stored/Presistent)

補充:XSS Stored,又稱為XSS Prsistent。
https://ithelp.ithome.com.tw/upload/images/20250920/20169022HKMsOOmyA3.pnghttps://ithelp.ithome.com.tw/upload/images/20250920/20169022U191rN26HY.png

  • ZAP Active Scan掃描結果:成功
    https://ithelp.ithome.com.tw/upload/images/20250920/201690227ymLW6s7jt.png
  • 手動測試XSS漏洞:
    輸入簡易playload<script>alert(/ZAP/)</script>測試XSS漏洞,彈出視窗顯示【/ZAP/】
    https://ithelp.ithome.com.tw/upload/images/20250920/201690220GlKuxKXs4.png
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022Rr1TmwKbo7.png
    即使後來輸入其他name及message皆會彈出視窗:
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022O6vYmnN6ku.pnghttps://ithelp.ithome.com.tw/upload/images/20250920/20169022vJtQna8B6u.png

測試XSS(Reflected)

https://ithelp.ithome.com.tw/upload/images/20250918/201690221dojjn5Uco.png

  • ZAP Active Scan掃描結果:成功
    輸入【Tina】後按下Submit,彈出文字Hello, Tina ,上方網址最後一段從.../xss_r/變成.../xss_r/?name=Tina#
    https://ithelp.ithome.com.tw/upload/images/20250918/20169022r0EsgkzemB.png
    https://ithelp.ithome.com.tw/upload/images/20250918/20169022CEPZawATSj.png
  • 手動測試XSS漏洞:
    輸入簡易playload<script>alert(/ZAP/)</script>測試XSS漏洞,彈出視窗顯示【/ZAP/】,上方網址最後一段變成.../xss_r/?name=<script>alert(%2FZAP%2F)<%2Fscript>#
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022iSbBEI4ulu.png
    https://ithelp.ithome.com.tw/upload/images/20250920/20169022k5yrPOGwAc.png

以XSS Reflected漏洞測試請求為例,執行Fuzz

參考文章

https://medium.com/@clannad716/dvwa-low-level-5355a2d5ca9d
https://blog.csdn.net/m0_56010012/article/details/123663649


上一篇
Day 10—ZAP Policy調整與客製化掃描
下一篇
Day12—實作測試:經典SQL Injection+Blind SQL injection
系列文
資安小白—30天學習滲透測試with OWASP ZAP (Zed Attack Proxy)30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言