Chapter ll Web APP X ZAP ?


Web Application คือ?

หลังจากที่ผู้อ่านได้ศึกษาข้อมูลเกี่ยวกับ ZAP กันมาบ้างแล้ว อาจจะสงสัยว่า Web Application นั้นคืออะไร มันเกี่ยวข้องกับ ZAP ได้อย่างไร ในบทนี้ผู้เขียนจะขอเล่าความเกี่ยวข้องระหว่าง Web Application และ ZAP เท่านั้น หากผู้อ่านอยากทำความรู้จัก Web Application ให้มากกว่านี้ลองศึกษาเพิ่มเติมได้จากที่นี่ครับ

Web App

  เป็นการพัฒนาระบบงานบนเว็บไซต์ ซึ่งมีระบบมีการไหลเวียนในแบบออนไลน์ ไปยังเครือข่ายอินเตอร์เน็ต ทำให้เหมาะสำหรับงานที่ต้องการข้อมูลแบบ Real Time (เรียลไทม์) พูดง่ายๆ มันก็คือเว็บที่เราใช้กันอยู่ทุกวันนี้แหละครับ 


แล้ว Web App เกี่ยวข้องกับ ZAP อย่างไร ?

  ZAP เป็นโปรแกรมที่ใช้ตรวจหาช่องโหว่บนเว็บไซต์ เช่น ระบบสมัครมาชิก ระบบสั่งซื้อ ระบบสัพเพเหระต่างๆ ที่เหล่านักพัฒนาร้อยหน้าพันหน้าพัฒนากันมานี่แหละครับ แต่ใครจะรู้หละว่า โค้ดที่เราเขียนกันเป็นพันๆหมื่นๆตัวเนี่ยมันอาจจะผิดอยู่บรรทัดนึง ทำให้แฮกเกอร์สามารถใช้ช่องโหว่ตรงนี้เข้าทำลายระบบเราจนพังพินาศก็ได้!! จนต้องมีเจ้า ZAP เนี่ยแหละเข้ามาช่วยเป็นยามคอยตรวจว่าเราทำน้ำรั่วไว้ตรงไหนรึปล่าว

   แต่!เดี๋ยวก่อน ZAP ไม่ได้มีแค่หน้าที่เป็นยามเช็ครูรั่วอย่างเดียว ยังสามารถทำอะไรได้อีกเพียบบบบบบบบ แบบโคตะระเยอะ แต่ขอฮึบไว้ที่ Chapter 3 นะคร้าบบ :))
ยามเยิมอะไร Ironman ว่าไปอย่าง =__=

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

เริ่มต้นใช้งาน OWASP ZAP

รูปภาพ
ดาวโหลด ZAP 2.6.0 ได้ที่นี่ เมื่อเปิดโปรแกรม ZAP มาแล้วโปรแกรมจะถามว่าจะเก็บ session ไว้ไหม ช่องแรกคือให้เก็บ session ไว้ ช่องสองคือให้เก็บ session ไว้ แต่กำหนดเองได้ว่าจะเก็บที่ไหน ช่องสุดท้ายไม่ต้องเก็บ เมื่อเข้ามาแล้วจะพบกับ Mode หลักๆของโปรแกรมที่จะมีอยู่ 4 Mode ดังนี้ Safe mode : จะไม่สามารถใช้งานส่วนที่อาจก่อให้เกิดความเสียหายต่อระบบ Protected mode : โปรแกรมจะอนุญาติให้ใช้งานระบบที่อาจก่อให้เกิดความเสียหายต่อระบบแต่ได้เฉพาะในบางรายการเท่านั้น Standard mode : โปรแกรมจะอนุญาติให้ใช้งานระบบที่อาจก่อให้เกิดความเสียหายต่อระบบ ATTACK mode : โปรแกรมจะค้นหาช่องโหว่เท่าที่จะหาได้ ค่าเริ่มต้นของโปรแกรมจะถูกตั้งไว้เป็น   Standard mode แต่เท่าที่ผู้เขียนลองเทสดู Safe mode กับ Protected mode จะใช้ feature URL attack ไม่ได้
อ่านเพิ่มเติม

Chapter I อะไรคือ Zap?

รูปภาพ
Zap คืออะไร ?      ZAP หรือ The OWASP Zed Attack Proxy คือ เครื่องมือทดสอบระบบความปลอดภัยที่ได้รับความนิยมที่สุดในโลกในตอนนี้แถมยัง ฟรี อีกด้วย (อ้างอิงจากการสืบค้นในปี 2017) ว่าด้วยความเจ๋งของเจ้า  ZAP   ทำได้มีอาสาสมัครมือฉมังจากทั่วทุกมุมโลกเข้ามาร่วมแจมกันมากมาย แล้ว Zap ทำอะไรได้?    ZAP มันจะช่วยให้นักพัฒนาอย่างพวกเรา ค้นหาช่องโหว่ของระบบบน Web Application ได้โดยอัตโนมัติแบบไม่ต้องไปไล่ดูโค้ดซ้ากกกกะตัว อารมเหมือนมีแฮกเกอร์เป็นสิบๆคน มานั่งรอเทสโปรแกรมของเรายังไงอย่างงั้น นอกจากนี้ ZAP ยังเป็น Pentesters ตัวเก๋าเพื่อใช้ในการหาช่องโหว่บนระบบความปลอดภัยได้อีกด้วย ฟีเจอร์หลักๆใน ZAP Intercepting Proxy Active and Passive Scanners Spider Report Generation  Brute Force ( Chapter II ) Fuzzing Extensibility ในบทต่อๆไปผู้เขียนจะอธิบายความสามารถของแต่ละฟังก์ชั่นหลักๆของ ZAP แต่ก่อนจะถึง Pentesters ผู้เขียนขอเล่าก่อนว่า  Web Application หรือเจ้า Web APP เนี่ยมันเกี่ยวข้องกับ ZAP อะไรยังไง ตามมาอ่านกันต่อที่ Chapter II นะคร้าบ  ดาวโหลด * ในขณะน
อ่านเพิ่มเติม

Chapter lll ใช้ ZAP บุกทะลวงประตูบ้านด้วย Brute force attack

รูปภาพ
Brute force attack   ชื่อนี้อาจจะคุ้นหู Admin หลายๆคนที่ทำ Log ตรวจสอบว่าใครกรอกรหัสผ่านเข้าบ้านเรามาบ้าง ล่าสุดผู้เขียนเอาไปลองกับระบบตัวเองจน Log ล้นเป็นขยะจนต้องปิดการแจ้งเตือนออกไป สำหรับ ZAP นั้นจะมีฟีเจอร์หลักๆ อยู่มากมาย ในแชปเตอร์นี้ผู้เขียนจะขอเปิดประเดิมด้วยการรีวิวฟีเจอร์ทะลวงประตูบ้านสุดเกรียนอย่าง  Brute force attack  วอสอิ๊สสส  Brute force attack?    ชื่ออย่างเท่จริงๆ เรียก Random Password จะเข้าใจง่ายกว่า Brute force attack จริงๆแล้วมันเป็นการโจมตีแบบเดารหัสผ่านโดยการสุ่มไปเรื่อยๆ ซึ่งการทำจะใช้โปรแกรมทำให้การโจมตีทำได้เร็วกว่ามานั่งลองผิดลองถูกทีละตัว นอกจากจะทำให้เว็บมีความเสี่ยงในการที่จะถูกแฮ็กแล้ว ยังทำให้โหลดบนเว็บเราเพิ่มขึ้นอีกด้วย มันทำงานอย่างไร ?    ง่ายๆเลย ส่วนใหญ่จะใช้ user: admin pass แล้วแต่จะตั้ง hacker ก็เดาจาก user: admin สุ่มรหัสไปเรื่อยๆ แบบถึกๆ ยกตัวอย่างประมาณนี้ ถ้าคุณใช้รหัส  admin ก็จบกันเพราะมันเป็นอันแรกที่จะใช้เดา ถ้าใช้ ตัวเลข 4 ตัว 1234 ก็ใช้เวลาในการเดา 11.11 วินาที ถ้าใช้ 123456 ก็ใช้เวลาในการเดา 18.52 นาที  ถ้าใช
อ่านเพิ่มเติม