大家好！我目前正在就讀資訊類科系，平常以接觸程式撰寫居多，對於資安領域的技術沒有太多了解因此希望藉由這30天的機會，以OWASP ZAP作為主要工具，從實際操作和分析，從環境架設、基本掃描到進階弱點發掘，一步步建立資安思維。
　　我將學習如何利用ZAP自動化及主動/被動掃描常見的資安漏洞，並理解其背後的原理，以及該如何修復，例如SQL Injection、XSS等，讓我從「資安小白」進化成具備基本滲透測試技能的「資安入門者」。

今日內容概要：

1. 安裝bWAPP靶場（Docker）
2. 使用ZAP CLI對bWAPP進行全站掃描

安裝bWAPP靶場

安裝Docker與Docker-Compose

1. 更新套件
   sudo apt update && sudo apt upgrade -y
2. 安裝 Docker
   sudo apt install docker.io -y
3. 安裝 Docker Compose
   sudo apt install docker-compose -y
4. 啟動 Docker 服務
   sudo systemctl start docker
sudo systemctl enable docker
5. 驗證 Docker 版本
   docker --version
docker-compose --version

下載bWAPP Docker映像

docker pull buggy/bwapp

啟動bWAPP container

輸入：docker run -d -p 8080:80 --name bwapp buggy/bwapp
(需要先看自身的port是否已被占用)
啟動後，在瀏覽器輸入網址：http://localhost:8080/bWAPP/login.php
預設帳號/密碼：bee/bug

• localhost可以改成自己的。
• 確認bWAPP正常運行: docker ps

使用ZAP CLI快速對bWAPP進行全站掃描

啟動ZAP Daemon模式

zap.sh -daemon -port 8080 -config api.disablekey=true

• 驗證ZAP是否運行:curl http://localhost:8080/

用ZAP CLI掃描

1. zap-cli start
2. zap-cli open-url http://localhost:8080/bWAPP
3. zap-cli spider http://localhost:8080/bWAPP
4. zap-cli active-scan http://localhost:8080/bWAPP
5. zap-cli report -o bwapp_report.html -f html

目前卡在啟動bWAPP container的環節，一直顯示port已有其他container......