一、OWASP ZAP简介
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站:
https://www.zaproxy.org/download/
- 1
- 2
二、OWASP ZAP安装
① ZAP支持在Windows、Linux、MacOS等平台上运行,可以在官网直接下载数据包,Windows和Linux版本需要运行Java 8或更高版本。
② Kali Linux系统中,内置了ZAP软件,可直接使用:
三、OWASP ZAP使用
- 保持会话
保存会话会将会话结果记录到数据库中,不保存则会在退出ZAP时被删除。
-
用户界面
-
自动扫描
点击“快速开始”–>“Automated Scan”,输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。
-
扫描结果
点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:
扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情:
- 手动探索
在快速开始界面,点击“Manual Explore”手动探索,输入要探索的Web应用程序的URL,选择需要使用的浏览器,点击启动浏览器:
ZAP提供了HUD功能,是一种可以直接在浏览器中访问ZAP的 功能,可以在访问Web时,提供关键的安全信息和功能:
此时便可与浏览器交互登录等操作的同时,ZAP进行同步探索:
点击不同的页面,右下角会弹出已扫描出的漏洞告警。
将页面尽可能遍历后,查看站点树,会将有警报的站点标识出来:
- 单目标攻击
右键站点树的某个子路径,可对单个目标进行“攻击”:
使用“爬行”、“强制浏览网站”、“强制浏览目录”、“强制浏览目录和子页面”将页面路径记录的更全,然后再使用“主动扫描”等其他方式进行进一步的测试。
- 生成报告
所有扫描完成后,点击“报告”,生成HTML报告:
学习资料分享
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如果你想要入坑黑客&网络安全工程师,这份282G全网最全的网络安全资料包!
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
网络安全源码合集+工具包
视频教程
视频配套资料&国内外网安书籍、文档&工具
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
黑客/网安大礼包:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!
扫一扫
5410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
