OWASP Zed Attack Proxy Project Learning

Brute force attack   ชื่อนี้อาจจะคุ้นหู Admin หลายๆคนที่ทำ Log ตรวจสอบว่าใครกรอกรหัสผ่านเข้าบ้านเรามาบ้าง ล่าสุดผู้เขียนเอาไปลองกับระบบตัวเองจน Log ล้นเป็นขยะจนต้องปิดการแจ้งเตือนออกไป สำหรับ ZAP นั้นจะมีฟีเจอร์หลักๆ อยู่มากมาย ในแชปเตอร์นี้ผู้เขียนจะขอเปิดประเดิมด้วยการรีวิวฟีเจอร์ทะลวงประตูบ้านสุดเกรียนอย่าง  Brute force attack  วอสอิ๊สสส  Brute force attack?    ชื่ออย่างเท่จริงๆ เรียก Random Password จะเข้าใจง่ายกว่า Brute force attack จริงๆแล้วมันเป็นการโจมตีแบบเดารหัสผ่านโดยการสุ่มไปเรื่อยๆ ซึ่งการทำจะใช้โปรแกรมทำให้การโจมตีทำได้เร็วกว่ามานั่งลองผิดลองถูกทีละตัว นอกจากจะทำให้เว็บมีความเสี่ยงในการที่จะถูกแฮ็กแล้ว ยังทำให้โหลดบนเว็บเราเพิ่มขึ้นอีกด้วย มันทำงานอย่างไร ?    ง่ายๆเลย ส่วนใหญ่จะใช้ user: admin pass แล้วแต่จะตั้ง hacker ก็เดาจาก user: admin สุ่มรหัสไปเรื่อยๆ แบบถึกๆ ยกตัวอย่างประมาณนี้ ถ้าคุณใช้รหัส  admin ก็จบกันเพราะมันเป็นอันแรกที่จะใช้เดา ถ้าใช้ ตัวเลข 4 ตัว 1234 ก็ใช้เวลาในการเดา 11.11 วินาที ถ้าใช้...

Web Application คือ? หลังจากที่ผู้อ่านได้ศึกษาข้อมูลเกี่ยวกับ ZAP กันมาบ้างแล้ว อาจจะสงสัยว่า Web Application นั้นคืออะไร มันเกี่ยวข้องกับ ZAP ได้อย่างไร ในบทนี้ผู้เขียนจะขอเล่าความเกี่ยวข้องระหว่าง Web Application และ ZAP เท่านั้น หากผู้อ่านอยากทำความรู้จัก Web Application ให้มากกว่านี้ลองศึกษาเพิ่มเติมได้จาก ที่นี่ ครับ Web App   เป็นการพัฒนาระบบงานบนเว็บไซต์ ซึ่งมีระบบมีการไหลเวียนในแบบออนไลน์ ไปยังเครือข่ายอินเตอร์เน็ต ทำให้เหมาะสำหรับงานที่ต้องการข้อมูลแบบ Real Time (เรียลไทม์) พูดง่ายๆ มันก็คือเว็บที่เราใช้กันอยู่ทุกวันนี้แหละครับ  แล้ว Web App เกี่ยวข้องกับ ZAP อย่างไร ?   ZAP เป็นโปรแกรมที่ใช้ตรวจหาช่องโหว่บนเว็บไซต์ เช่น ระบบสมัครมาชิก ระบบสั่งซื้อ ระบบสัพเพเหระต่างๆ ที่เหล่านักพัฒนาร้อยหน้าพันหน้าพัฒนากันมานี่แหละครับ แต่ใครจะรู้หละว่า โค้ดที่เราเขียนกันเป็นพันๆหมื่นๆตัวเนี่ยมันอาจจะผิดอยู่บรรทัดนึง ทำให้แฮกเกอร์สามารถใช้ช่องโหว่ตรงนี้เข้าทำลายระบบเราจนพังพินาศก็ได้!! จนต้องมีเจ้า ZAP เนี่ยแหละเข้ามาช่วยเป็นยามคอยตรวจว่าเราทำน้ำรั่วไว้ตร...

Zap คืออะไร ?      ZAP หรือ The OWASP Zed Attack Proxy คือ เครื่องมือทดสอบระบบความปลอดภัยที่ได้รับความนิยมที่สุดในโลกในตอนนี้แถมยัง ฟรี อีกด้วย (อ้างอิงจากการสืบค้นในปี 2017) ว่าด้วยความเจ๋งของเจ้า  ZAP   ทำได้มีอาสาสมัครมือฉมังจากทั่วทุกมุมโลกเข้ามาร่วมแจมกันมากมาย แล้ว Zap ทำอะไรได้?    ZAP มันจะช่วยให้นักพัฒนาอย่างพวกเรา ค้นหาช่องโหว่ของระบบบน Web Application ได้โดยอัตโนมัติแบบไม่ต้องไปไล่ดูโค้ดซ้ากกกกะตัว อารมเหมือนมีแฮกเกอร์เป็นสิบๆคน มานั่งรอเทสโปรแกรมของเรายังไงอย่างงั้น นอกจากนี้ ZAP ยังเป็น Pentesters ตัวเก๋าเพื่อใช้ในการหาช่องโหว่บนระบบความปลอดภัยได้อีกด้วย ฟีเจอร์หลักๆใน ZAP Intercepting Proxy Active and Passive Scanners Spider Report Generation  Brute Force ( Chapter II ) Fuzzing Extensibility ในบทต่อๆไปผู้เขียนจะอธิบายความสามารถของแต่ละฟังก์ชั่นหลักๆของ ZAP แต่ก่อนจะถึง Pentesters ผู้เขียนขอเล่าก่อนว่า  Web Application หรือเจ้า Web APP เนี่ยมันเกี่ยวข้องกับ ZAP อะไรยังไง ตามมาอ่านกันต่อท...