前言
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段渗透测试工具第5篇。
喜欢的朋友们,记得给大白点赞支持和收藏一下,关注我,学习黑客技术
owasp_zap
工具介绍
OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
主要拥有以下重要功能:
-
本地代理
-
主动扫描
-
被动扫描
-
Fuzzy
-
暴力破解
安装注意事项
Windows(64)安装程序、 Windows(32)安装程序、 Linux安装程序、 MacOS安装程序等。
Windows下载下来的是exe的,双击就可以了!
Linuxg下载下来的不是.sh就是tar.gz,这个就更加简单了。
唯一需要注意的是:
Windows和Linux版本需要运行Java 8或更高版本JDK,MacOS安装程序包括Java 8;
Windows下安装流程
步骤一:双击运行后
步骤二:选择jdk目录中的java.exe文件
步骤三:选着语言类型
步骤四:开始安装点击next
步骤五:同意然后next
步骤六:标准安装然后next
步骤七:直接install,然后点击finish就可以开始用啦
报错解决
如果出现这个错误,可能是jdk环境的问题
jdk和java的选择
我们需要选择jdk环境
优缺点
优点
-
免费的web application 扫描器
-
更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器
缺点
-
现阶段ZAP的中文支持做得还不是很好,基本的操作界面以英文为主。
-
就插件而言,没有burpSuit工具丰富
设置zap会话选项
根据需求选择就好了
证书配置
下载证书导入,否则会显示不安全
步骤一:下载证书 127.0.0.1:8080
步骤二:下载好证书之后,在设置这里搜索证书,点击管理证书,来到受信任的根证书颁发机构然后导入证书
步骤三:访问https网站访问正常
使用
配置好会话方式,更具自己的需求来配置
设置中文语言
tools–options–language–选择中文–点击ok–重启就是中文了
主动扫描
选择自动扫描
设置好url,点击开始攻击即可
被动扫描
步骤一:设置代理
owasp zap端:工具–选项–网络–本地服务器代理–设置好地址和端口
浏览器端:在proxy代理插件中与工具端的地址和端口一致
然后使用浏览器去访问目标网站
网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
282G《网络安全/黑客技术入门学习大礼包》,可以扫描下方二维码免费领取!
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
朋友们需要全套共282G的《网络安全/黑客技术入门学习大礼包》,可以扫描下方二维码免费领取!
END