1 概述
1.1 OWASP Zed Attack Proxy 简介
OWASP Zed Attack Proxy(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。
1.2 KeyarchOS简介
浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接https://www.ieisystem.com/keyarchos/
2 安装环境
2.1 操作系统环境
版本信息:KeyarchOS 5.8sp1。
硬件平台:X86_64。
添加图片注释,不超过 140 字(可选)
2.2 ZAP版本
OWASP ZAP 2.13.0
3 安装ZAP
3.1 安装JDK并查看JDK版本
使用ZAP工具需要安装JDK。
添加图片注释,不超过 140 字(可选)
3.2 安装ZAP
访问OWASP ZAP官方网站(https://www.zaproxy.org/download/)下载安装包,选择合适的版本下载。
解压:tar -xvzf ZAP_2.13.0_Linux.tar.gz
运行:./zap.sh
4 ZAP基本使用
4.1 快速配置代理
在开始使用他进行渗透测试之前,如前文所述,首先需要将他设为我们的浏览器代理。
ZAP的默认地址和端口是标准的localhost:8080,如下图:
添加图片注释,不超过 140 字(可选)
如果端口可用,接下来我们只需要去修改浏览器代理,以火狐为例:在设置-常规-连接设置里,选择手动代理,并将http代理设为与ZAP一致。
添加图片注释,不超过 140 字(可选)
完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。
4.2 开启快速探索模式
ZAP右上方区域是快速测试窗口,可以开启非常傻瓜式的渗透测试。输入网址,点击‘攻击’。
添加图片注释,不超过 140 字(可选)
4.3 主动爬取网站
配置好代理的情况下,使用浏览器进行任何站点的访问都会经过ZAP,这时就会在ZAP的context记录里留下该站点记录,右键点击需要测试的站点,选择“攻击->Spider“,弹出的选项窗口点击“开始扫描”,则会开始手动爬取网站。如图:
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
4.4 主动扫描
右键点击目标站点,选择“攻击->主动扫描”,就可以触发主动扫描:
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)