大家好！我目前正在就讀資訊類科系，平常以接觸程式撰寫居多，對於資安領域的技術沒有太多了解因此希望藉由這30天的機會，以OWASP ZAP作為主要工具，從實際操作和分析，從環境架設、基本掃描到進階弱點發掘，一步步建立資安思維。
　　我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞，並理解其背後的原理，以及該如何修復，例如SQL Injection、XSS等，讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。

今日內容概要：

1. XSS Stored漏洞字典
2. 設定多參數同時fuzz，模擬「複雜輸入點」
3. 紀錄與歸納有效的、失敗的payload

XSS Stored

指攻擊者將惡意腳本永久地儲存在伺服器上，例如在留言板、個人資料或論壇貼文中，當其他使用者訪問包含該腳本的頁面時，腳本就會在他們的瀏覽器中執行。
(已於昨天進行簡易的滲透測試，及單一參數的Fuzzing)

多參數同時fuzz

同時對Name及Message欄位，以相同的XSS Stored字典集進行Fuzzing

Fuzz結果

有近一半的playload注入成功！