Embedded Files
你的網頁是安全的嗎?
在現代數位時代,隨著網路攻擊手段的日益複雜,確保系統與應用程式的安全至關重要。
弱點掃描能快速識別網站中的潛在漏洞,從而防範網路威脅,保障使用者與網站的資訊安全。
法規有要求:
📜《資通安全責任等級分級應辦事項》的規定,A、B、C級機關所有核心資通系統必須進行「安全性檢測」,包括弱點掃描和滲透測試。
📜《資通安全管理法施行細則》第4條規定,受託業務包括客製化資通系統開發者,受託者應提供該資通系統之安全性檢測證明
📜 數發部資安法常見問題-辦理受託業務-受託者之選任及監督之6.7:委外開發之資通系統如屬委託機關之核心資通系統,委託機關應自行或另行委託第三方進行安全性檢測。
如果您的系統由外部廠商維護,並且法規要求需要定期執行弱點掃描作業,您可以使用免費的弱點掃描工具來檢視系統的安全性。
⚠️掃描報告中所揭示的弱點應根據組織的程序書進行修正,例如,若程序書規定必須修補中等以上風險的弱點,則高風險與中等風險的弱點都必須一併修補,以確保系統的安全性。
介紹一款免費的網頁弱掃軟體給大家➡OWASP ZAP
為什麼介紹「OWASP ZAP」?
完全開源且免費:OWASP ZAP 是一個100%開源且完全免費的工具,沒有任何進階版本或付費功能,也不存在被鎖定在付費區的功能,所有的功能都可以免費使用,且沒有任何專有程式碼。
提供CWE漏洞報告:掃描報告中會列出對應的CWE(Common Weakness Enumeration,常見弱點枚舉)編號,方便您查詢相關的漏洞資訊,並進一步了解和修補弱點。
與 Burp Suite 相比的功能優勢:
Burp Suite 需要付費解鎖進階功能:OWASP ZAP 提供的許多功能在 Burp Suite 中則需要付費購買進階版本才能使用。
自動 Web 應用程式掃描:OWASP ZAP 可以自動對Web應用程式進行主動和被動掃描,建立網站地圖並識別漏洞,而這項功能在Burp Suite中屬於付費功能。
網頁蜘蛛(網站爬行):OWASP ZAP 提供被動爬行工具,能夠自動建立網站的地圖,這一功能在Burp Suite中也是需要付費才能使用的。
無限制的入侵者功能:OWASP ZAP 支持暴力破解登入頁面,速度取決於你的電腦性能和Web伺服器的能力,且沒有任何限制,而在Burp Suite中則需要付費才能享有此功能。
簡化的請求攔截與操作:OWASP ZAP 可以在你瀏覽網站時自動攔截請求,並讓你直接進行手動攻擊,無需像Burp Suite那樣來回切換視窗,手動發送和轉發請求,這使得測試過程更加流暢且高效。
⬅️OWASP ZAP 網頁弱掃
⬅️OWASP ZAP 網頁弱掃
全名:OWASP Zed Attack Proxy
開發組織:OWASP
工具類型:開源網路應用安全掃描工具
主要用途:測試Web應用程式的安全性,協助開發人員和安全測試人員發現並修復應用程式中的安全漏洞
目標使用者:開發人員、安全測試人員、資安專家,初學者和專業人士
主要功能:動態掃描(自動診斷工具)、Forced Browse(使用字典找尋目錄、檔案)、Spider(網路爬蟲)、AjAX Spider(Javascript 網路爬蟲)、Fuzzer(自動化插入參數之模糊測試)、Proxy(代理伺服器)等。
OWASP ZAP 安 裝 教 學
OWASP ZAP 安 裝 教 學
➡️安裝環境
OWASP ZAP可以支援安裝在Windows作業系統、macOS作業系統、 Linux作業系統,也可以使用使用Docker來安裝。
✅如果有Kali Linux環境的,Kali Linux本身就裝有OWASP ZAP,可以直接使用,如果沒有在自行安裝即可。
Kali Linux logo
以下是詳細的Windows版本安裝步驟,幫助你快速安裝並使用這款工具
2️⃣step 2. 執行安裝程式
(1)下載完成後,找到".exe 檔案"並雙擊以開始安裝。
(2)按照提示點擊"下一步",並選擇安裝路徑及其他設定選項。
❗建議選擇預設安裝路徑,確保ZAP可以正常運行❗
(.exe 檔案)
4️⃣step 4. 完成安裝
安裝完成後,系統會自動創建桌面快捷方式。
你可以通過雙擊圖示來啟動OWASP ZAP。
使 用 介 面 介 紹
使 用 介 面 介 紹
1️. ZAP 桌面使用者介面
ZAP 桌面 UI 由以下元素組成:
功能選單列:提供多種自動化與手動工具的存取途徑。
工具列:包含按鈕,方便快速存取常用功能。
樹狀視窗:顯示網站樹與腳本樹。
工作區視窗:顯示請求、回應和腳本,並允許編輯這些內容。
資訊視窗:顯示自動化與手動工具的詳細資訊。
頁尾:顯示發現的警示摘要及主要自動化工具的狀態。
2️. 框詢問是否儲存掃描的資訊
進入 ZAP 後,會跳出提示框詢問是否儲存之後的掃描內容到暫存檔 。
預設情況下,ZAP 會話始終使用預設名稱和位置記錄到 HSQLDB 資料庫的磁碟中。如果您不保留會話,那麼當您退出 ZAP 時,這些檔案將被刪除。
如果您選擇保留會話,會話資訊將保存在本機資料庫中,以便您稍後可以存取它,並且您將能夠提供自訂名稱和位置來保存檔案。
檢 測 操 作 教 學
檢 測 操 作 教 學
我們這邊介紹「自動掃描」檢測教學
1️⃣step 1. 點選[Automated Scan]自動掃描
🕷️自動掃描:
會對網頁應用程式進行爬蟲,並被動掃描它找到的每個頁面。
接著,ZAP 會使用主動掃描器對所有發現的頁面、功能和參數進行攻擊。
2️⃣step 2. 設定目標及選擇爬蟲方式
(1)在[URL to attack] 輸入要檢測的網址
(2)選擇勾選「Traditional Spider」來進行網站爬行,這是較為通用的掃描方法,適用於大多數網站。
⚠️選擇爬行方式:
ZAP 提供了兩種爬蟲(traditional spider 和 AJAX spider),你可以選擇使用其中一種或兩者。
traditional spider:透過檢查網頁應用程式的 HTML 來發現連結,這種爬蟲速度快,但在探索通過 JavaScript 生成連結的 AJAX 網頁應用程式時無效。
AJAX spider:對於 AJAX 應用程式,ZAP 的 AJAX 爬蟲可能更有效,該爬蟲透過瀏覽器來探索網頁應用程式,然後跟隨生成的連結。
(3)點選[Attack]後開始檢測。
3️⃣step 3.檢測結果
🕷️Spider頁籤:
會顯示出在這個網站中爬到被測網站的所有頁面。
🏴Alert 頁籤:
右側會有以下幾種風險類別包括:
點選風險再左側可以查看詳細資訊,包括:攻擊手法、漏洞描述、解決方案等等。
4️⃣step 4. 報告生成
(1)[功能選單列]選擇 [Report] 並點選 [Generate Report]
(2)[Template] 可以挑選匯出的格式,建議匯出 html 或者 pdf
(3)確認後點選[Generate Report]即可產出報告
參考資料:
OWASP ZAP掃描工具,入門安裝和操作:https://ithelp.ithome.com.tw/articles/10313098
網頁滲透測試 OWASP ZAP:https://reurl.cc/xv1K8z
網頁安全性測試:OWASP ZAP使用入門:https://www.tpisoftware.com/tpu/articleDetails/2161
參考資料:
OWASP ZAP掃描工具,入門安裝和操作:https://ithelp.ithome.com.tw/articles/10313098
網頁滲透測試 OWASP ZAP:https://reurl.cc/xv1K8z
網頁安全性測試:OWASP ZAP使用入門:https://www.tpisoftware.com/tpu/articleDetails/2161
Page updated
Report abuse