安全性测试:OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装

最新推荐文章于 2024-05-10 09:59:43 发布
最新推荐文章于 2024-05-10 09:59:43 发布
阅读量1.6k 收藏 2
点赞数 1
文章标签: 运维 数据库 系统安全
原文链接:http://www.cnblogs.com/dayu2019/p/11543196.html
版权

概览

本文意在对于OWASP's Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。

ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。

为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。

 

安全测试基础

软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。

安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。

常见的安全性测试类型可以分为以下几种:

 

脆弱性评估 – 通常通过工具扫描的形式,评估系统安全性

渗透性测试 – 系统被分析并且通过模拟攻击的形式,评估其安全防御能力

运行时测试 – 通过终端用户的测试来评估系统安全性

代码审查 – 系统代码被评估和审查,以确定系统安全防御能力

 

注意(产品)风险评估并不包含在这个列表内。这是因为风险评估实际上并不是一种测试,而是对于不同风险的一种预估和分析,以及对于相应风险规避举措的拟定。

 

关于渗透性测试

渗透性测试,由测试人员扮演外部攻击者的角色,目标在于攻破系统以达到盗取数据或类似于拒绝服务攻击等目的。

渗透性测试的优势在于很少误报安全性问题(其它类型的测试,报出的安全性问题很多时候并不会真实构成被攻击风险)。

但是渗透性测试也是一种非常耗时的测试。

 

渗透性测试也用来测试系统防御机制,验证响应计划,并且确定安全性策略的遵循。

自动化的渗透测试是持续集成验证的重要部分,他有助于发现新的安全性风险,也能很快的发现在快速迭代过程中出现的安全性回退。

 

渗透性测试过程

手工渗透测试和自动化渗透测试都经常被使用,通常以结合起来的形式,来测试从服务器,到网络,到设备,到终端的所有链路。

本文则主要瞩目于Web应用或者说网站渗透性测试。

 

渗透性测试通常遵循以下阶段:

探索 – 测试人员学习被测系统。包括了解整个系统体系内被使用的部件,包括哪些终端,对于软件和系统而言安装了哪些补丁,等等。

这个过程中测试人员也会查找系统内的隐藏内容,已知安全风险,以及其它漏洞的表现。

攻击 – 测试人员尝试利用已知风险或可疑的漏洞,以证明这些风险和漏洞的存在。

报告 – 测试人员将测试的结果进行汇报,包括发现的系统漏洞,以及漏洞是如何被利用的,利用这些漏洞的困难程度,以及漏洞被利用的严重性。

 
 

渗透性测试目标

渗透性测试的终极目标在于搜寻系统的漏洞,这样这些漏洞可以被处理。

也可以用来确定系统不会被一些已知的风险所影响。

当系统漏洞被被修复以后,重新进行渗透性测试以确定系统漏洞已被弥补。

 

ZAP简介

Zed Attack Proxy (ZAP)是一个免费开源的渗透性测试工具,由OWASP组织开发和维护。

ZAP被设计用来专门测试Web应用的安全性,并且具有非常强的灵活性和可扩展性。

ZAP的核心机制是大家耳熟能详的“中间代理”。他通过架设在测试人员的浏览器和Web应用服务之间,这样他就可以拦截和审查浏览器和应用服务之间的信息交互。

必要的情况下,ZAP可以完成改包和重发。

 

 

 

如果已经有一个网络代理存在,ZAP也可以被配置为连接到已存在的代理。

 

 

ZAP提供了一系列针对不同安全技能等级的功能 - 从开发,到安全测试新手,到安全测试专家。

ZAP支持所有主流的操作系统以及Docker,并不强制绑定使用某一OS。

同时在ZAP客户端中的ZAP Marketplace中,也提供了非常多的免费的附加组件,以提供多种功能。

由于ZAP是一个开源软件,我们也可以查看他的源码,了解其功能的实现方法。

所有人都可以资源为ZAP贴砖加瓦,包括修复bug和增添功能。

 

安装和配置

ZAP提供了Windows, Linux以及Mac OS/X的安装包。

也提供了Docker镜像,下载地址可以在下文中找到。

 

安装

首先,在系统实施渗透性测试的系统中安装好ZAP。从以下地址下载适合你系统的ZAP安装包,并且执行:

https://github.com/zaproxy/zaproxy/wiki/Downloads

注意ZAP需要JDK8以上的版本来运行,所以安装的系统上需要预先安装JDK8以上版本。

Docker版不需要安装Java。

安装完成以后,就可以启动ZAP了。

.

保持会话

第一次启动ZAP,会被问到你是否要保持ZAP会话。

ZAP会话会默认以预设的名称和地址,记录到磁盘中的HSQLDB数据库中。

如果你不希望保持会话,那么在你退出ZAP时,这些会话文件会被删除。(意味着下次启动ZAP将无法看到之前的操作/测试记录)

 

如果选择保持会话,会话信息会被保存到本地数据库,这样下次使用时可以继续上次的操作。

选择保持会话,会提示为本次会话命名并选择存放地址。

 

第一次使用时,可以保持默认选项并开始,这样本次会话将不会被保持。

 

转载于:https://www.cnblogs.com/dayu2019/p/11543196.html

dengjuexiao3608
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
mac-安全测试工具owasp zap下载
06-13
owasp作为一个开源免费的安全测试工具,集成了各种工具的渗透测试框架,可以用来主动扫描和手动扫描,也可以用里面的库进行渗透测试,里面的内容也实时都在更新,建议有安全测试需求的测试人员练手使用。 由于官网...
漏洞扫描工具OWASP ZAP下载安装、使用教程(KOS)
KeyarchOS的博客
08-18 1732
OWASP Zed Attack ProxyZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
Javachichi的博客
09-06 6837
Zed Attack ProxyZAP)是一个免费的开源渗透测试工具,在 软件安全项目 (SSP)。ZAP 专为测试 Web 应用程序而设计,既灵活又可扩展。ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目的地。它可以用作独立应用程序和守护进程。如果已在使用另一个网络代理(如在许多企业环境中),则可以将 ZAP 配置为连接到该代理。
Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。
yy1715713348的博客
04-18 1367
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础ZAP下载安装
qq_42610167的博客
08-12 2219
概览 本文意在对于OWASP’s Zed Attack ProxyZAP)软件做一个基本使用指南介绍。 ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。 为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP安全测试进行过于深入的讨论。 安全测试基础 软件系统安全测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。 安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。 常见的安全性测试类型
Web 渗透测试 - Zed Attack Proxy
weixin_30753873的博客
02-01 1325
Zed Attack Proxy (Zaproxy) 是一个渗透测试工具,用来使Web应用更安全。虽然 ZAP 可以自动检测一些安全问题,它主要用于手动帮助您寻找安全漏洞。 项目地址:https://code.google.com/p/zaproxy/ 转载于:https://www.cnblogs.com/taskiller/archive/2013/02/01/2888933.html...
使用ZAP代理查看和修改请求
m0_46028468的博客
05-31 513
来到这个页面,可以看到,页面的即时响应是一个错误,表示用户不存在。在这里,可以更改请求的任何部分;在本小节中,使用ZAP代理拦截了一个有效的请求并修改了ua标头,验证了服务器已经接受提供的值。在这本节中,将使用OWASP_ZAP作为web代理,拦截请求,并在更改一些值后发送到服务器。完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。:如果每次测试不同的值都设置不同的User-Agent,在渗透测试中是不切实际的。
zap-extensions:OWASP ZAP附加组件
02-05
如果您使用的是最新版本的ZAP,则可以通过单击工具栏中的以下按钮从ZAP中浏览和下载加载项: 您还可以通过“文件/加载加载项文件...”菜单选项导入从手动下载的加载项。 请参阅了解更多详细信息。建造插件是使用...
OWASP(web渗透测试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透测试软件)安装包以及操作
zaproxy-test:OWASP ZAP 测试代码
06-07
zaproxy-test 项目包含 OWASP Zed Attack Proxy (ZAP) 及其扩展的所有开发人员测试代码。 这包括(但不限于) 用于确保单个类的预期行为的单元测试集成测试验证类或组件之间的正确交互支持类,如构建器、匹配器等。...
owasp-zap-historic:历史存储ZAP报告,并将当前ZAP结果与最新ZAP结果进行比较,以更改警报
04-30
OWASP-ZAP-Historic(OZH)是一个免费的自定义html报告,它通过将执行结果信息存储在MySQL数据库中并使用Flask从数据库生成html报告来提供历史ZAP执行结果。 它大量借鉴了adiralashiva8为所做的工作 MYSQL + Flask +...
OWASP ZAP下载安装、使用(详解)教程
热门推荐
子曰小玖的博客
02-22 2万+
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚...
推荐开源项目:Zed Attack ProxyZAP)——你的安全测试得力助手
最新发布
gitblog_00048的博客
05-10 302
推荐开源项目:Zed Attack ProxyZAP)——你的安全测试得力助手 项目地址:https://gitcode.com/zaproxy/zaproxy 1、项目介绍 Zed Attack Proxy (ZAP) 是一个全球广泛使用的免费安全工具,由一群国际志愿者团队积极维护和更新。它的设计目标是帮助开发者在开发和测试阶段就能发现并修复其Web应用程序的安全漏洞。无论你是安全测试新手还是...
利用OWASP ZAP寻找敏感文件和目录
Z_3679的博客
05-31 228
ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。打开ZAP它会后会询问是否要保存进程,以及如何保存,这里我选择第二项指定保存名称和位置,如果只是简单的学习zap的话可以选择第三项,那么当前的进程就不会被保存。
OWASP ZAP 2.7.0 版本全球发布|棉花哥的博客
qq_18209847的博客
12-07 6156
OWASP Zed Attack ProxyZAP)工具是世界上最受欢迎的免费安全工具之一。ZAP可以帮助安全测试人员在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
Web***测试框架-Zed Attack Proxy v 2.0.0(OWASP出品)
weixin_33971130的博客
11-09 700
OWASP出品的Zed Attack Proxy (ZAP)是一款集成各种工具的***测试框架,可以发现在WEB应用程序中的漏洞。官方网站:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project增加了很多新功能,更新:http://owasp.blogspot.com/2013/01/owasp-zed-...
OWASP ZAP下载安装
07-27
您可以通过以下步骤下载安装OWASP ZAP: 1. 首先,您需要访问OWASP官方网站,该网站提供了OWASP ZAP下载链接。您可以在OWASP网站的下载页面找到最新版本的OWASP ZAP。 2. 在下载页面上,您可以选择适合您操作系统的版本进行下载OWASP ZAP是一个跨平台的工具,支持Windows、Linux和Mac OS。 3. 下载完成后,根据您的操作系统,执行相应的安装步骤。对于Windows用户,您可以双击下载安装程序并按照提示进行安装。对于Linux用户,您可以使用命令行或包管理器进行安装。 4. 如果您是Linux用户,您可以使用以下命令将OWASP ZAP的软件源添加到您的系统中: ``` sh -c "echo 'deb http://download.opensuse.org/repositories/home:/cabelo/xUbuntu_19.04/ /' > /etc/apt/sources.list.d/home:cabelo.list" ``` 这将添加一个软件源,使您可以使用包管理器来安装OWASP ZAP。 5. 安装完成后,您可以在系统中找到OWASP ZAP的启动图标或使用命令行启动它。 请注意,以上步骤仅提供了一般的下载安装指南。具体的步骤可能会因您的操作系统和版本而有所不同。建议您在下载安装OWASP ZAP之前,查阅官方文档或相关资源,以获取更详细的指导和最新的信息。 #### 引用[.reference_title] - *1* [漏洞扫描工具OWASP ZAP下载安装、使用教程](https://blog.csdn.net/qq_37776764/article/details/130376552)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [OWASP ZAP安装kali](https://blog.csdn.net/weixin_61060664/article/details/129695333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值