OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言编写。
是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本节中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。
一、任务描述
为了使这个程序工作,需要使用ZAP作为Web浏览器的代理。
我们打开虚拟机和一个靶机,在kali虚拟机打开搜索栏目,搜索zap。
第一:打开OWASP ZAP,将ZAP中的代理端口由8080改为8088。
然后打开zap,操作如以下:选第一个,在点击开始
然后点击工具栏,点击选项,进入里面
然后进入到以下界面,操作如下图所示分为四个步骤,最后把端口改为8088之后,点击下面ok这个按钮。
修改kali linux中firefox的代理参数-方法一
打开firefox,点击左上角三横图标open application menu,找到setting并点击它,进入firefox的设置页面,将滚条拉到最底部,操作如图片:
然后点击settings。
选择Manual proxy configuration,然后在HHTP Proxy中输入127.0.0.1,再在Prot中输入8088.
选择Manual proxy configuration,然后在HHTP Proxy中输入127.0.0.1,再在Prot中输入8088.在No proxy for 中输入locahost, 127.0.0.1,勾选图中的Also use this proxy for HTTPS,最后点击OK按钮就可以了。
3.3 修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。
在kali linux中使用firefox打开靶场网页
我们看到靶机的地址是192.168.17.7
然后在kali虚拟机打开浏览器,在浏览器上方输入靶机的地址,192.168.17.7.然后·回车就可以了。
然后会进入到以下页面,然后点击WackoPicok,进入WackoPicok网站
在这个时候,zap中也产生了数据。
然后每次我们浏览器这边点击刷新的时候,zap这边都会产生新的数据
重复这样子,还是会刷出新的数据。
总结:
通过这次的学习,代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。