目录
实验目的:使用ZAP的爬行功能,在靶机上爬行一个目录,然后将检查它捕捉到的信息。(本次实验使用OWASP BWA靶场中的BodgeIt来说明ZAP的爬行功能是如何工作)
1.3.1 环境配置-kali linux中firefox(火狐浏览器)配置为127.0.0.1 8080
1.3.2 环境配置-kali linux中OWASP ZAP也配置为127.0.0.1 8080
1.3.3 先在kali linux中打开firefox浏览器,在浏览器中打开靶场
1.3.4 回到kali linux中打开OWASP ZAP,接着,在firefox中刷新Bodgeit页面,此时ZAP中就可以看到相应的记录。
1.1 ZAP爬虫简介
ZAP爬虫是一种基于ZAP(Zed Attack Proxy)漏洞扫描工具的爬虫,用于自动化地访问web应用程序的所有页面,并根据页面内容和链接来创建地图,以识别潜在漏洞。它可以帮助安全测试人员更好地了解web应用程序的结构和漏洞,并提供更全面和深入的漏洞扫描。ZAP爬虫同时具有功能强大的过滤器和配置选项,以便于用户控制爬行行为。
1.2 ZAP爬虫功能的优点是什么?
可以快速自动化地发现 web 应用程序中的漏洞和安全问题,如 XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。同时,ZAP 的爬虫还支持多线程扫描,可以大大提高扫描速度和效率。
ZAP爬虫功能的优点如下:
-
自动化:ZAP爬虫可以自动化地发现网站的信息和漏洞等问题,大大提高了工作效率。
-
全面性:ZAP爬虫能够全面地扫描网站,包括网站中的页面、链接和参数等,确保不漏掉任何一个细节。
-
可定制性:ZAP爬虫提供了灵活的定制功能,用户可以为其增添自定义规则,以满足特定需求。
-
安全性:ZAP爬虫可以帮助用户发现网站的漏洞和安全问题,通过修复这些问题,用户可以提高网站的安全性。
-
易扩展性:ZAP是一款开源的工具,用户可以通过自己编写插件扩展其功能,满足自己的特定需求。
1.3 操作步骤
实验目的:使用ZAP的爬行功能,在靶机上爬行一个目录,然后将检查它捕捉到的信息。(本次实验使用OWASP BWA靶场中的BodgeIt来说明ZAP的爬行功能是如何工作)
1.3.1 环境配置-kali linux中firefox(火狐浏览器)配置为127.0.0.1 8080
1.在kali打开火狐浏览器找到设置并进入