(转)OWASP ZAP下载、安装、使用(详解)教程

最新推荐文章于 2024-01-04 11:01:26 发布
最新推荐文章于 2024-01-04 11:01:26 发布
阅读量5.2k 收藏 12
点赞数 1
文章标签: 运维 java 操作系统
原文链接:http://www.cnblogs.com/WYQ-grasslands/p/10362345.html
版权

 

OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

 

也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

 

即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

 

主要拥有以下重要功能:

  • 本地代理
  • 主动扫描
  • 被动扫描
  • Fuzzy
  • 暴力破解

 

一、OWASP ZAP 下载地址

github项目:https://github.com/zaproxy/zaproxy/wiki/Downloads

 

二、OWASP ZAP 安装

安装我就不多说了,它有Windows(64)安装程序、 Windows(32)安装程序、 Linux安装程序、 MacOS安装程序等。

 

Windows下载下来的是exe的,双击就可以了!

Linuxg下载下来的不是.sh就是tar.gz,这个就更加简单了。

 

唯一需要注意的是:Windows和Linux版本需要运行Java 8或更高版本。MacOS安装程序包括Java 8;

 

三、OWASP ZAP使用教程(详解)

由于Kali Linux里面也集成了OWASP ZAP工具,我就拿Kali Linux里面的OWASP ZAP来做示例吧!

 

1、更新

由于owasp zap 官方不定期的会更新zap插件和zap版本,我们可以通过手动更新的方式如下:

owasp zap更新

如果你想更新单个,你可以这样:后面如果出现【更新】的字样的话,可以选择后【update selected】更新即可!

 

Marketplace为插件市场,是选择性安装的插件。主要分为一下3类的插件:

  • release:为经过长期验证比较成熟的插件
  • beta:为正在测试测试中的插件,可能会出现问题
  • alpha:比beta更加低的测试版插件

 

建议release和beta版的都安装上,alpha版本的可选择性安装!

owasp zap Marketplace插件市场

 

2、本地代理设置

给firefox 浏览器设置http代理(也可以是其他浏览器),owasp zap默认使用8080端口开启http代理;火狐浏览器设置代理

 

如果你想修改owasp zap默认的代理,owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改:owasp zap本地代理设置

 

3、简单攻击

然后我们再去火狐浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。

攻击是需要有步骤的:

 

首先:手动爬行网站后,选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children)。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)。owasp zap爬行

以上的目的是尽量的爬行出网站的所有链接页面!

 

其次:以上工作做完以后,就可以选择该站点进行active scan(主动扫描)

owasp zap active scan(主动扫描)

 

owasp zap active scan(主动扫描)

主动扫描上面有一些相关 设置,例如:信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置,不是很了解的朋友们只需要用默认的即可!

 

最后:主要就是查看扫描结果,主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

 

如果你想验证该漏洞的真实有效性,你可以选择该漏洞点进行相应安全工具再进一步的测试!

 

4、persist session结果保存

【文件】-【persist session】,该功能主要保存“扫描分析的结果”,方便下次继续分析!

 

5、扫描模式

主要有4中扫描模式:安全模式、保护模式、标准模式、攻击模式;

owasp zap默认用的是标准模式,你可以在【编辑 】- 【ZAP Mode】中选择你想要的模式。

 

 

6、扫描策略

有两个地方可以添加扫描策略 (1)【分析】-【扫描策略】,(2)设置按钮

 

 

扫描策略你可以自己随意设置的!如果不懂就用默认的吧!

owasp zap扫描策略设置

  • Policy:扫描策略名称,需要填写
  • Default Alert Threshold:告警阀值,有low、medium、high,阀值越高owasp zap扫描爆出的漏洞数就越少,阀值越高owasp zap就只爆出确认的漏洞高的。
  • Default Attack Strength:攻击强度,有low、medium、high、insane,强度越高,扫描速度越快
  • Apply xx Threshold to All:把告警阀xx值给所有扫描插件,点击go 生效
  • Apply xx Strength to All:把扫描强度xx应用给所有扫描插件,点击go 生效

 

7、扫描时跳过某个插件扫描

在【扫描监控】中,点击旁边的蓝色按钮,可跳过该插件的检测!

owasp zap扫描时跳过某个插件扫描

 

8、CSRF Tokens设置

部分网站有防止csrf的token,无法正常提供token网站会重定向,可以通过owasp zap 的anti csrf tokens功能来添加该网站的token名称,告知owasp zap。

 

在【设置】-【Anti CSRF Tokens】里添加。

owasp zap设置anti csrf tokens

 

9、设置代理后,https网站证书不受信任问题

owasp zap 进行代理时,浏览器访问https的网站,owasp zap使用自己的证书与浏览器建立ssl连接,由于owasp zap证书不受信任,因此需要把owasp zap的证书手动导出(cer格式的证书),导入到浏览器中即可!

 

导出owasp zap的证书的方法【设置】-【Dynamic SSL Certificates】;

owasp zap设置dynamic ssl certificates

 

10、contexts/scope 站点过滤

该功能可快速的定位自己关心的站点;

owasp zap站点过滤

 

11、session properties

owasp zap 扫描站点的所有session结果都保存在session properties 中,默认是手动通过浏览器填写账号密码来记录session;owasp zapsession properties

 

12、http session

owasp zap 默认有如下的字段名,如果网站中有其他自定义的session名,需要自己添加进来;

owasp zap http session

 

查看http session的值;

owasp zap查看http session的值

 

13、编码解码工具

【工具】-【编码解码哈希】

owasp zap编码解码工具

 

14、爬行useragent设置

【设置】-【connection】

owasp zap useragent设置

 

15、fuzzer模糊测试(漏洞检查工具)

直接右键需要fuzzer的http包,选择fuzzer,选中需要fuzzer的值,添加payload;

owasp zap fuzzer模糊测试

 

这里以sql注入的fuzzer为例,选择一个参数值,点击add,选择fuzzer的类型;

owasp zap fuzzer模糊测试

 

再查看fuzzer的测试结果; owasp zap fuzzer模糊测试

 

16、代理截断

owasp zap默认使用8080代理,截断默认关闭,要启动阶段需要点击。

owasp zap 代理截断

owasp zap截断功能响应太慢,没burpsuit的好用!

转载于:https://www.cnblogs.com/WYQ-grasslands/p/10362345.html

diliu5480
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。
01-26
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。把zap.jar复制到jenkins插件zap文件夹下web-inf的lib中,覆盖原有zap.jar.
app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载安装
qq_42610167的博客
08-12 2219
概览 本文意在对于OWASP’s Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。 ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。 为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。 安全测试基础 软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。 安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。 常见的安全性测试类型
Web漏扫工具OWASP ZAP安装使用(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
liuhyusb的博客
01-04 2696
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
网络安全——OWASP ZAP使用
weixin_54055099的博客
08-20 1789
OWASP ZAP使用
渗透测试专家必备工具OWASP
wzj的博客
05-31 5209
OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。它应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大的。 OWASP扫描漏洞范围: 1—注入 2—失效的身份认证会话管理 3—跨站脚本、XSS 4—不安全的直接对象引用 5—安全配置错误 6—敏感信息泄漏 7—功能级访问控制缺失
安全性测试:OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载安装
dengjuexiao3608的博客
09-18 1613
概览 本文意在对于OWASP's Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。 ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。 为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。 安全测试基础 软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性...
owasp-dashboard:使用OWASP Zap扫描您的网址
03-14
OWASP Zap扫描 网址 严重程度 姓名 网址 严重程度 姓名
owasp-zap-historic:历史存储ZAP报告,并将当前ZAP结果与最新ZAP结果进行比较,以更改警报
04-30
OWASP-ZAP-Historic(OZH)是一个免费的自定义html报告,它通过将执行结果信息存储在MySQL数据库中并使用Flask从数据库生成html报告来提供历史ZAP执行结果。 它大量借鉴了adiralashiva8为所做的工作 MYSQL + Flask +...
OWASP(web渗透测试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透测试软件)安装包以及操作
ZAP2.10_Windows_x64安装文件
05-27
Zed攻击代理(ZAP)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为测试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查在浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包发到目标位置。它可以用作独立应用程序,也可以用作守护进程。 安装包仅适用Windows 64位系统。
OWASP ZAP 2.7.0 版本
09-27
OWASP Zed Attack Proxy (ZAP)工具是世界上最受欢迎的免费安全工具之一。ZAP可以帮助安全测试人员在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试...
OWASP ZAP下载安装使用详解教程
热门推荐
子曰小玖的博客
02-22 2万+
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚...
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
使用ZAP代理查看和修改请求
m0_46028468的博客
05-31 511
来到这个页面,可以看到,页面的即时响应是一个错误,表示用户不存在。在这里,可以更改请求的任何部分;在本小节中,使用ZAP代理拦截了一个有效的请求并修改了ua标头,验证了服务器已经接受提供的值。在这本节中,将使用OWASP_ZAP作为web代理,拦截请求,并在更改一些值后发送到服务器。完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。:如果每次测试不同的值都设置不同的User-Agent,在渗透测试中是不切实际的。
OWASP ZAP下载安装
07-27
您可以通过以下步骤下载安装OWASP ZAP: 1. 首先,您需要访问OWASP官方网站,该网站提供了OWASP ZAP下载链接。您可以在OWASP网站的下载页面找到最新版本的OWASP ZAP。 2. 在下载页面上,您可以选择适合您操作系统的版本进行下载OWASP ZAP是一个跨平台的工具,支持Windows、Linux和Mac OS。 3. 下载完成后,根据您的操作系统,执行相应的安装步骤。对于Windows用户,您可以双击下载安装程序并按照提示进行安装。对于Linux用户,您可以使用命令行或包管理器进行安装。 4. 如果您是Linux用户,您可以使用以下命令将OWASP ZAP的软件源添加到您的系统中: ``` sh -c "echo 'deb http://download.opensuse.org/repositories/home:/cabelo/xUbuntu_19.04/ /' > /etc/apt/sources.list.d/home:cabelo.list" ``` 这将添加一个软件源,使您可以使用包管理器来安装OWASP ZAP。 5. 安装完成后,您可以在系统中找到OWASP ZAP的启动图标或使用命令行启动它。 请注意,以上步骤仅提供了一般的下载安装指南。具体的步骤可能会因您的操作系统和版本而有所不同。建议您在下载安装OWASP ZAP之前,查阅官方文档或相关资源,以获取更详细的指导和最新的信息。 #### 引用[.reference_title] - *1* [漏洞扫描工具OWASP ZAP下载安装使用教程](https://blog.csdn.net/qq_37776764/article/details/130376552)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [OWASP ZAP安装kali](https://blog.csdn.net/weixin_61060664/article/details/129695333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值