วิธีใช้งาน Kali Linux – OWASP Zap – Brute Force with Fuzz

ในการตรวจสอบ ความแข็งแกร่งของระบบป้องกันการโจมตี เรื่องหนึ่งคือความสามารถในการกัน Brute Force หรือ ความพยายามเดารหัสผ่าน

OWASP Zap สามารถใช้เป็นเครื่องมือในการทำ Brute Force ได้ โดยใช้เครื่องมือที่ชื่อว่า Fuzz

ขั้นตอนมีดังนี้

1. เปิด Zap และเปิด Web Browser ที่ตั้งค่าให้ Zap เป็น Proxy และ ทำการ Authentication ทดสอบดู
   
2. ใน Zap จะปรากฏ POST Action ที่สำหรับส่ง Username และ Password เกิดขึ้น
   
3. เลือก Username ที่ทดสอบใส่ลงไป แล้วคลิกขวา เลือก Fuzz
   
4. จากนั้นคลิก Payloads
   
5. จากนั้น คลิกปุ่ม Add เลือก Type เป็น Strings แล้วใส่ Username ที่จะใช้ในการเดา เสร็จแล้วคลิกปุ่ม Add
   
6. จากนั้น เลือกข้อความที่เป็น Password แล้วคลิก Add แล้วคลิก Payload แล้วใส่ Password ที่จะเดา เสร็จแล้วคลิกปุ่ม Add
   
7. เมื่อตั้งค่าเสร็จแล้ว คลิกปุ่ม Start Fuzz
   
8. Zap จะทำการเดา Username/Password เมื่อเสร็จแล้ว ลองสังเกตผลใน Tab Fuzzer
   ผลที่ได้อาจจะแตกต่างกันในแต่ละระบบที่โจมตี แต่ในภาพ จะเห็นว่า มี Size Response Header อยู่บรรทัดหนึ่งที่มีขนาดแตกต่างจากอันที่ไม่สำเร็จ คือ 390 bytes (บรรทัดอื่นๆเป็น 310 bytes) เมื่อลองคลิกดู แล้วไปดูใน Tab Response จะเห็นว่า มีการ Set-Cookie แสดงว่า Login ได้แล้ว

   ใน Column Payloads จะเห็นว่า รหัสผ่านเป็น admin,123456 สามารถเอาไปทดสอบได้
   

ในตัวอย่างนี้ ถ้ามีระบบป้องกันการเดารหัสผ่าน เช่น fail2ban ก็จะสามารถลดความเสี่ยงได้ (บ้าง)