OWASP ZAP渗透测试

最新推荐文章于 2024-05-25 09:30:00 发布
最新推荐文章于 2024-05-25 09:30:00 发布
阅读量351 收藏 2
点赞数
分类专栏: jmeter 计算机操作 测试 文章标签: postman 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaogsf/article/details/131211614
版权

一. API渗透测试–>POSTMAN执行API–>OWASP ZAP收集API接口–>渗透测试

  1. POSTMAN中创建API的测试request
  2. POSTMAN的设置中设置proxy代理,如下图:
    在这里插入图片描述
  3. 设置proxy,如下图
    在这里插入图片描述
  4. 创建collection,然后创建API request,如下图
    在这里插入图片描述
  5. 设置OWASP ZAP的代理,如下图:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  6. 点击POSTMAN中的 API request的send按钮,执行API成功,OWASP ZAP端就会自动检索并收集API的数据,如下图
    在这里插入图片描述
  7. 邮寄站点的域名–>攻击–>主动扫描–>点击开始扫描,就可以攻击了,如下图:
    在这里插入图片描述
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/48ff5d1dad7f459aa2e8a6a447709a02.png
  8. 攻击后产生如下数据,如下:
    在这里插入图片描述
  9. 点击报告,生成报告:
    在这里插入图片描述
    在这里插入图片描述

二.Web页面操作–>OWASP ZAP收集WEB接口–>渗透测试

  1. 设置OWASP ZAP代理,如第一种中的设置一样。
  2. 设置firefox火狐浏览器的代理,点击浏览器的setting按钮,进入到网络设置选项:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  3. 设置OWASP ZAP的手动打开浏览器的参数,如下:
    在这里插入图片描述
  4. 输入需要打开网站的网址,然后点击启动浏览器:
    在这里插入图片描述
  5. 自动打开浏览器后并进入到了baidu的页面,这些操作都被OWASP ZAP记录了相关域名和API,如下:
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/14c017dbac0c4cc4a2a55a74f17a93be.png
  6. 就可以选择对应的域名进行攻击–>主动扫描–>开始扫描,如同第一类型中的结果一样。
    7. 需要注意的是:选择对域名攻击时,需要辨别只选择攻击我们需要的域名,不能把所有的域名都攻击,因为站点收集到的域名可能是与我们工作无关的网址,如果攻击其他网址,可能会被定义为恶意攻击,需要慎重。尽量在firefox的代理里面设置白名单或黑名单。
gaogsf
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP ZAP 2.7.0 版本
09-27
OWASP Zed Attack Proxy (ZAP)工具是世界上最受欢迎的免费安全工具之一。ZAP可以帮助安全测试人员在开发和测试应用程序过程中,...另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
Javachichi的博客
09-06 5779
Zed Attack Proxy(ZAP)是一个免费的开源渗透测试工具,在 软件安全项目 (SSP)。ZAP 专为测试 Web 应用程序而设计,既灵活又可扩展。ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目的地。它可以用作独立应用程序和守护进程。如果已在使用另一个网络代理(如在许多企业环境中),则可以将 ZAP 配置为连接到该代理。
安全测试:OWSAP ZAP渗透测试工具
weixin_45760314的博客
08-17 185
安全测试:OWSAP ZAP渗透测试工具
渗透测试工具ZAP入门教程4)-OWASP ZAP警报详解
seanyang_的博客
05-29 2060
使用OWASP ZAP对网站进行安全扫描,扫描后发现一些警告。使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。可以在如下地址输入alert查询。
渗透测试工具——漏洞扫描工具
m0_61101264的博客
05-17 657
步骤3:选中需要Fuzz测试的位置,点击右侧“Add”按钮,在出现的Payloads”对话框中继续点击“Add”按钮,在弹出的Add Payload对话框中,“类型”选择“File Fuzzers",将列表中的"jbrofuzz"->injection"文件添加进去。恶意程序大规模传播并危害互联网:厂商发布补丁程序和安全预警将更进一步的让整个黑客社区了解出现新的安全漏洞和相应的渗透代码、恶意程序,更多的“黑帽子”们将从互联网或社区关系网获得并使用这些恶意程序,对互联网的危害也达到顶峰。
渗透测试工具ZAP入门教程(3)-渗透测试扫描流程
seanyang_的博客
08-27 736
使用 ZAP 的 Spider 功能进行扫描时,默认情况下会扫描当前页并自动探测整个网站,并构建一个全面的页面列表。然后,ZAP 将使用这个页面列表来进行更全面的安全扫描。因此,ZAP 的 Spider 扫描将涵盖整个网站的所有页,而不仅仅是当前页。点击Active Scan Start,开始使用默认配置对前三步记录的地址进行扫描(页面操作有时候不会开始扫描,可以用方法二或三)。输入URL,点击启动浏览器,在打开的浏览器登录要扫描的网站。在ZAP界面,在需要攻击的网站上右键->攻击->主动扫描。
黑客工具之OWASP-ZAP
victorwjw的博客
06-14 1145
一个不错的工具 OWASP-ZAP
Web渗透_扫描工具OWASP_ZAP
分享学习网络的点点滴滴
07-18 1517
OWASP_ZAPWEBApplicaiton系统渗透测试和漏洞挖掘工具开源免费跨平台简单易用截断代理主动、被动扫描Fuzzy、暴力破解APIhttp//zap/需要浏览器开启代理。
ZAP_2_11_1_windows.exe
12-31
ZAPZAP_2_11_1_windows.exe 适用于Windows 64位系统)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为测试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人...
Owasp Zap Live CD:Owasp Zap Live CD-开源
07-08
Live CD、Live DVD 或 Live Disc 是完整的可引导计算机安装,包括在计算机内存中运行的操作系统。此 Live CD 包含 Owasp Zap 漏洞测试解决方案,OWASP ... 它也是经验丰富的渗透测试人员用于手动安全测试的绝佳工具。
mac-安全测试工具owasp zap下载
06-13
owasp作为一个开源免费的安全测试工具,集成了各种工具的渗透测试框架,可以用来主动扫描和手动扫描,也可以用里面的库进行渗透测试,里面的内容也实时都在更新,建议有安全测试需求的测试人员练手使用。 由于官网...
ZAP:OWASP ZAP 核心项目-开源
07-07
ZAP 是一种易于使用的集成渗透测试工具,用于查找 Web 应用程序中的漏洞。 它旨在供具有广泛安全经验的人使用,因此非常适合不熟悉渗透测试的开发人员和功能测试人员。 ZAP 提供自动扫描程序以及一组工具,可让您...
Postman快捷功能-批量断言与快速查询替换
若不知道要驶向哪个码头,那么任何风都不会是顺风。
05-22 650
大家好,在日常的接口测试工作中,我们经常需要对接口返回的数据进行断言,以确保接口的正确性。当接口数量较多时,逐个编写断言语句会变得非常繁琐。此外,在接口测试过程中,我们还可能需要频繁地查找和替换某些数据。为了解决这些问题,Postman 提供了一些非常实用的快捷功能,其中包括批量断言和快速查询替换。本文将详细介绍如何使用 Postman 的批量断言和快速查询替换功能,帮助你提高接口测试的效率。
Express 的 req 和 res 对象
weijia_kmy的博客
05-22 667
Express 的 req 和 res 对象的一些属性实践。
Elasticsearch基础操作
qq_16268979的博客
05-17 355
本文主要介绍Elasticsearch的基础操作(本文时基于kibana,也可以用postman去配置调用),用之前可以先在虚拟机上装配一下ES、kibana、以及IK分词器,配置的方式可以线上也可以线下,这篇文章就不介绍配置相关的,主要是记录常见的操作。
Postman进阶功能-集合分支管理与编写接口文档
若不知道要驶向哪个码头,那么任何风都不会是顺风。
05-22 1207
大家好,在接口测试的领域中,我们不断追求更高效、更便捷、更强大的方法与工具。而 Postman 作为一款备受青睐的接口测试工具,其进阶功能更是为我们打开了新的天地。在这其中,集合分支管理与编写接口文档的功能显得尤为重要。当面对日益复杂的接口体系和项目需求时,集合分支管理能够让我们有条不紊地组织和分类接口,使得测试工作更加清晰有序。它就像是为我们的接口测试之旅提供了清晰的导航,帮助我们在众多接口中准确找到目标。而编写接口文档这一功能,更是意义非凡。它让接口信息不再孤立,而是形成一个有机的整体。
Springboot开发 -- Postman 调试类型详解
最新发布
dazhong2012的专栏
05-25 708
在 Spring Boot 应用开发过程中,接口测试是必不可少的一环。Postman 作为一款强大的 API 开发和测试工具,可以帮助开发者轻松构建、测试和管理 HTTP 请求。本文将为大家介绍如何在 Spring Boot 开发中使用 Postman 进行接口测试。
postman都有哪些功能?
小白白
05-17 237
可以方便地发送 HTTP 请求,包括各种方法(GET、POST、PUT、DELETE 等),并查看响应结果。能够灵活设置请求的参数,如查询参数、请求头、请求体等。支持创建不同的环境,方便在不同场景下切换和测试。可以将相关的请求组织成集合,便于管理和复用。可以编写测试脚本,实现自动化的接口测试流程。帮助开发者监控请求和响应的过程,进行调试。支持团队共享集合、环境等,方便协作开发。保留请求的历史记录,方便查看和回溯。用于验证响应结果是否符合预期。结合数据文件进行大规模的测试。
进阶之路:深度理解postman和jmeter的区别何在?
YLF123456789000的博客
05-21 1045
小伙伴们大家好呀,前段时间笔者做了一个小调查,发现行业做功能测试和接口测试的人相对比较多。在测试工作中,有高手,自然也会有小白,但有一点我们无法否认,就是每一个高手都是从小白开始的,所以今天我们就来谈谈一大部分人在做的,小白变高手也许你只差这一次深入了解!
OWASP ZAP 汉化
09-15
OW ZAP是一款功能强大的开源web安全工具,它与burp suite相似,主要用于代理、数据拦截修改、主动扫描、被动扫描、主动攻击、爬虫、fuzzing和渗透测试等任务。与burp suite相比,OWASP ZAP是免费的,由OWASP组织进行开发、维护和更新。它具有一个活跃的社区,允许用户开发和分享插件,使其具备了更多的功能和扩展性。 关于OWASP ZAP的汉化问题,目前它的最新版本已经支持中文界面。我们可以通过下载最新版本并选择中文作为界面语言来实现汉化。此外,有些用户也提供了翻译过的使用指南,你可以通过相关的下载链接获取到这些文档。 请注意,由于OWASP ZAP是一个活跃的开源项目,其发展较快,因此可能会出现一些翻译尚未完全更新的情况。但无论如何,OWASP ZAP作为一款强大而受欢迎的web安全工具,在国内外安全圈和渗透测试领域都有广泛的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值