信息安全技术——使用ZAP寻找敏感文件和目录

于 2023-06-18 17:34:08 发布
阅读量193 收藏
点赞数
文章标签: 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78429157/article/details/131273993
版权

目录

OWASP ZAP介绍

1. 在Kali Linux中启动OWASP ZAP

 2. 修改ZAP中的代理端口

 3. 修改firefox浏览器的代理参数-方法一

3.2. 修改firefox的代理参数-方法二 

3.3为社么要修改firefox的代理参数

 4. 使用firefox浏览器打开靶场网页,观察ZAP扫描结果

 5.测试总结

OWASP ZAP介绍

OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言写。OWASP ZA是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在次实验中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。 

1. 在Kali Linux中启动OWASP ZAP

 1、找到在kali 搜索栏中找到OWSASP ZAP后,双击启动OWSASP ZAP。

2、启动后点击开始。

 2. 修改ZAP中的代理端口

1、点击工具,找到选项,单击进入

 

2、下拉滚动条,单击Network,选择Local Servers/Proxies,将端口Port修改为8088,点击OK,修改完毕。(默认端口为8080,默认情况下,它使用端口8080, 这也是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理。)

最低0.47元/天 解锁文章
Aa_Zu Feng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
web安全-----ZAP扫描漏洞问题以及解决
博客之家
09-29 1669
此版块持续更新中。。。。 目前发现的问题大部分都是后端C代码的问题,以及少部分前端代码的问题。
java笔记--Map的用法
热门推荐
Linias的博客
08-07 33万+
Map 接口概述 我们通过查看Map接口描述,发现Map接口下的集合与Collection接口下的集合,它们存储数据的形式不同,如下图。 Collection中的集合,元素是孤立存在的(理解为单身),向集合中存储元素采用一个个元素的方式存储。 Map中的集合,元素是成对存在的(理解为夫妻)。每个元素由键与值两部分组成,通过键可以找对所对应的值。 Collectio...
OWASP-ZAP扫描器的使用
墨鱼菜鸡
11-15 364
目录 OWASP-ZAP 更新 代理 目录扫描 主动扫描(Active Scan) 扫描结果 生成报告 OWASP-ZAP OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中...
OWASP ZAP 扫描漏洞误报分析
tanghan511的博客
12-13 3877
OWASP ZAP 扫描漏洞误报分析
kali linux 网络渗透测试学习笔记(二)OWASP ZAP工具扫描SQL injection漏洞失败
极歌科技
10-22 1442
按照惯例,利用OWASP ZAP工具扫描SQL injection漏洞时,应该很快就可以扫描出来,但是在笔者进行扫描的时候,却遇到了以下状况: 这说明了该工具根本就没能够扫描出SQL注入的漏洞,不知道该如何解决。因此我还是推荐大家用其他工具进行扫描,比如APPscan等工具,扫描的结果会在后续公布出来。...
深入浅析golang zap 日志库使用(含文件切割、分级别存储和全局使用等)
10-15
主要介绍了golang zap 日志库使用(含文件切割、分级别存储和全局使用等),本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
08-12
7. Web应用安全检测的工具和技术:Web应用安全检测可以使用多种工具和技术,例如Burp Suite、ZAP、OWASP Zed Attack Proxy等。这些工具和技术可以帮助开发者和测试人员对Web应用程序进行安全检测和评估。 8. Web...
ZAP2.10_Mac安装文件
05-27
Zed攻击代理(ZAP)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为测试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web...
ZAP2.10_Windows_x64安装文件
05-27
Zed攻击代理(ZAP)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为测试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web...
Java中的Map及其使用
taraex的博客
05-15 17万+
Map Map集合概述和特点 概述: 将键映射到值的对象 一个映射不能包含重复的键 每个键最多只能映射到一个值 Map接口和Collection接口的不同 Map是双列的,Collection是单列的 Map的键唯一,Collection的子体系Set是唯一的 Map集合的数据结构针对键有效,跟值无关;Collection集合的数据结构是针对元素有效 Map集合的功能概述 a:添加功能 V put...
Kali Linux渗透测试 079 扫描工具-OWASP_ZAP
kevinhanser
03-07 5404
>本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 > >[Kali Linux渗透测试(苑房弘)博客记录](http://blog.csdn.net/kevinhanser/article/details/78010013) > >1. OWASP_ZAP 项目简介 >2. 简单使用 >3. 3. API >4. 基本设置 >5.
zap安装提示java_使用API调用进行ZAP身份验证
weixin_39948309的博客
03-02 293
我正在使用ZAP API调用来使用命令行测试站点 . 但即使我遵循正确的步骤,我的用户身份验证也有问题 . 但是当蜘蛛作为用户时,我仍然无法设法通过登录页面 . 以下是我要介绍的步骤 .1.包含在上下文中(context / includeContext)2.更改认证方法以形成基础 . (authentication / setAutenticationMethod)这里我只传递contextI...
利用Owasp Zap Proxy实现正对Web站点的扫描和漏洞发现功能
Brisbane的博客
10-23 3801
Owasp的功能与之前提过的Burp Pro Proxy相类,都具有流量代理、fuzz请求、抓取网页和自动扫描等功能,不同的是Owasp提供了更加简洁的操作界面,Burp Pro Proxy支持Burp扩展能够具有更强大的定制处理能力。 同metasploitable一样,Owasp Zap Proxy提供了一个存在漏洞的渗透测试演练工具OWASPBWA,我们可以通过这个虚拟机练习使用Owasp ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8328
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
最新发布
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
2003-2023年飞机航线信息数据.xlsx
07-08
2003-2023年飞机航线信息数据 1、时间:2003-2023年 2、来源:高铁航线数据库(Chinese High-speed Rail and Airline Database,CRAD) 3、指标:起点城市、起点城市所属地级市、起点城市所属省份、起点机场、终点城市、终点城市所属地级市、终点城市所属省份、终点机场、航空公司、更新日期、航班、出发时间、到达时间、准点率、班次_周一、班次_周二、班次_周三、班次_周四、班次_周五、班次_周六、班次_周日
Xilinx Vitis 2020工程源目录修改
07-08
Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如:源目录为D:/work,复制到同事电脑上放到C:/work(同事电脑只有一个C盘)。利用Vitis打开工程编译会有一堆错误,提示文件找不到。本脚本用来解决该问题。
owasp zap使用
06-01
OWASP ZAP(Zed Attack Proxy)是一款常用的免费开源网络应用程序安全测试工具,可以被用于发现和利用Web应用程序的安全漏洞。以下是使用OWASP ZAP的简单步骤: 1. 下载并安装OWASP ZAP。 2. 启动OWASP ZAP并在代理菜单中选择“启动代理”。 3. 配置浏览器使用OWASP ZAP作为代理服务器。在浏览器中输入“about:preferences#advanced”并在“网络”选项卡中选择“设置”按钮。在代理服务器选项中选择“手动代理配置”并输入ZAP代理服务器的IP地址和端口号。 4. 浏览到要测试的Web应用程序并开始浏览。OWASP ZAP将记录所有的HTTP请求和响应。 5. 在OWASP ZAP中选择“自动扫描”并选择要扫描的目标应用程序。OWASP ZAP将自动扫描应用程序,并在扫描完成后生成一个报告。 6. 手动测试:在OWASP ZAP中选择“手动探测”并选择要测试的目标应用程序。使用OWASP ZAP的工具手动测试应用程序,例如:拦截器、爬虫、代理等。 这只是OWASP ZAP的基本使用,该工具还提供了更多高级功能,例如:自定义脚本、插件等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值