本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
- OWASP_ZAP 项目简介
- 简单使用
- API
- 基本设置
- OWASP_ZAP 测试的主要流程
1. OWASP_ZAP 项目简介
项目简介
OWASP Zed Attack Proxy(ZAP)是全球最受欢迎的免费安全工具之一,由数百名国际志愿者积极维护*。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。它也是经验丰富的测试者用于手动安全测试的好工具。 OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。 OWASP在业界影响力: OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则 国际信用卡数据安全技术PCI标准更将其列为必要组件 为美国国防信息系统局(DISA)应用安全和开发清单参考 为欧洲网络与信息安全局(ENISA), 云计算风险评估参考 为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南 为美国国家安全局/中央安全局, 可管理的网络计划提供参考 为英国GovCERTUK提供SQL注入参考 为欧洲网络与信息安全局(ENISA), 云计算风险评估提供参考 OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准
链接
国内链接:ZAP中国:http://www.owasp.org.cn/
官网链接:ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
GITHUB 下载:GITHU
启动
2. 简单使用
选择会话保存方式
浏览器设置代理
owasp-zap 查看截获的代码
可以使用代理手动点击站内所有链接进行手动爬网
查看请求
查看警告
主动扫描
主动扫描
Fuzzer 测试
或者模糊测试
注入成功的查找
暴力破解
3. API
使用 API 功能
127.0.0.1:8080
http://zap/
4. 基本设置
扫描模式
safe mode : 保护目标系统,安全性扫描,防止系统挂死
升级 add-ons
扫描策略
1
反 csrf 令牌
OWASP_ZAP 代理模式中访问 https 不信任 CA 问题
将证书保存然后导入 浏览器
Scope / Contexts / filter:限制扫描范围
凡是有狙击准星的都包含在 scope 中
准星的作用类似于 “感兴趣” 标记
身份认证方法:Http Sessions——default session tokens & site session tokens
一般建议使用 cookies
使用 manual 方式,使用浏览器手动输入账号密码,owasp_zap 默认临时性将 session 保存在本地,然后之后再扫描就自动化提取 session 完成扫描
基于表单
基于脚本
设置 cookies 内容
默认只有 PHPSESSID
设置添加 security
使用 浏览器 重新登录,刷新页面
多用户身份的 PHPSESSID 切换
代理截断
5. OWASP_ZAP 测试的主要流程
设置代理
设置浏览器代理
手动爬网
手动点击网站内所有的链接, owasp_zap 会收到所有的数据
自动爬网
使用自动爬网攻击
主动扫描
把爬网发现的每一个变量都进行攻击测试
扫描结果