[F10_WebHack] Lab 2內容與繳交注意事項

代理伺服器(Proxy)在Web安全中扮演相當重要的角色,除了外部的代理伺服器外,也可以安裝於本機,功能上除了節省頻寬等傳統的好處之外,依照使用者
的活用還可以用於跳板、監聽資料流等功能。身為資訊系的學生,學習開發網站應用是大部分人都會歷經的道路,但是許多人自己開發的網站應用都有
 SQL injection、Cross-site scripting 等問題。本次 Lab 就是要大家嘗試使用 Paros 這款Web Proxy,這款特殊的 Web Proxy 架設在使用者的瀏覽器
和目標網站之間,所有的 HTTP 或是HTTPS 的請求與回應都會通過 Proxy ,所以可以仔細研究甚至修改這些資訊(包括 Cookies、Hidden Form 變數等請求
與回應的內容),甚至使用工具內建的弱點掃描和偵測工具幫助檢查自己所開發的網頁。


Lab2 要求:
1. 下載並安裝 Paros
2. 找一個網站做簡單的瀏覽測試,了解 Paros 的功能
3. 於宅學習 SLS 上寫下操作經驗與心得分享
4. 心得分享中請簡介何謂 SQL injection 與 Cross-site scripting

注意:
本 Lab 建議掃描自己過去開發過的網頁,如要掃描(甚至攻擊)他人網站請自行承擔法律問題

參考資料:
http://blog.miniasp.com/post/2008/12/Useful-tool-Paros-web-application-security-assessment.aspx
http://www.parosproxy.org/ (官方網站)