大家好！我目前正在就讀資訊類科系，平常以接觸程式撰寫居多，對於資安領域的技術沒有太多了解因此希望藉由這30天的機會，以OWASP ZAP作為主要工具，從實際操作和分析，從環境架設、基本掃描到進階弱點發掘，一步步建立資安思維。
　　我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞，並理解其背後的原理，以及該如何修復，例如SQL Injection、XSS等，讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。

今日內容概要：

1. 對XSS做模糊測試Fuzzing
2. 字典與payload管理

提前準備Playload字典集

對XSS做模糊測試Fuzzing

一開始，在打開ZAP後，先在登入DVWA，並打開DVWA的SQL Injection專區，隨意在欄位輸入1並Submit，回到ZAP History，查看剛剛抓取到的那則請求，對該請求【按右鍵】，選擇【Attack】、【Fuzz】。

在Fuzz視窗中，用滑鼠反白要測試的參數值(例如id=1裡的 1)，按【Add】、【Add】。

在出現的New Playload視窗中，點擊string的下拉式選單並選擇file，之後選擇提前準備好的playload字典list，就可以開始Fuzzing了。

Fuzz結果

有三個playload測試結果顯示Reflected：