OWASP ZAP 檢查網頁的安全性

OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期 致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話 題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

十大Web資安漏洞列表

1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身份驗證相關功能有缺陷。
8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

先安裝JAVA 再安裝ZAP

https://www.java.com/zh-TW/download/

設定瀏覽器代理proxy伺服器

用來追蹤瀏覽各個網站時，所存取的資源是否有安全問題

儲存ZAP憑證

工具＞選項

瀏覽器匯入憑證

設定＞安全性＞管理憑證＞匯入

開啟任一網站

開始偵測！

參考資料

• OWASP
• 下載Zed Attack Proxy (ZAP)