概要
TryHackMe「Introduction to OWASP ZAP」のWalkthroughです。
Task1
Q1.What does ZAP stand for?
A.Zed Attack Proxy
Q2.Connect to the TryHackMe network and deploy the machine. Once deployed, wait a few minutes and visit the web application: http://TARGET_MACHINE
Webページにアクセスします。
Task3
Q1.Install ZAP on an operating system of your choice!
Kaliのリポジトリからインストールできます。
$ sudo apt install zaproxy
Task5
Q1.What IP do we use for the proxy?
A.127.0.0.1
Task6
Q1.Try scanning the DVWA web application as an authenticated user.
Username: admin,Password: passwordでログインし、DVWA SecurityからレベルをLowに設定します。
site->attack->forced browse siteに遷移し、ディレクトリスキャンを実行します。
Task8
Q1.Use ZAP to bruteforce the DVWA 'brute-force' page. What's the password?
Brute Forceページに遷移し、GETリクエストパケットをキャプチャします。
TryHackMeのテキストに従い、ブルートフォースを実行するとレスポンスサイズの差異からパスワードを特定できました。
A.password