使用ZAP代理查看和修改请求

工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具

OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。

也可以说：ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

主要拥有以下重要功能：

本地代理

主动扫描

被动扫描

Fuzzy

暴力破解

一、OWASP ZAP 下载地址

github项目：https://github.com/zaproxy/zaproxy/wiki/Downloads

OWASP_ZAP与Burp Suite类似。ZAP不仅可以拦截流量，还有很多其他的功能，比如爬虫、漏洞扫描器、模糊测试和暴力破解等。

ZAP还有一个脚本引擎，可以用来自动化的执行或者创建新的功能。 在这本节中，将使用OWASP_ZAP作为web代理，拦截请求，并在更改一些值后发送到服务器。

打开ZAP

初步使用ZAP

进程保留：

初次打开ZAP时，会看到以下对话框，询问是否要保持ZAP进程。

保存进程则可以让你的操作得到保留，下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果等。

一般来说，如果对固定的产品做定期扫描，应该保存一个进程做为长期使用，选第一或者第二个选项都可以。

如果只是想先简单尝试ZAP功能，可以选择第三个选项，那么当前进程暂时不会被保存。

点击Options

在开始使用他进行渗透测试之前，如前文所述，首先需要将他设为我们的浏览器代理。

如果端口可用，接下来我们只需要去修改浏览器代理，以火狐为例：

在设置-常规-连接设置里，选择手动代理，并将http代理设为与ZAP一致：

浏览器的Network Settings（网络配置）设置为127.0.0.1，端口8080，如下图示：

完成这一设置以后，我们再用这个浏览器去访问站点时，都会通过ZAP这个中间人，于是这就给ZAP提供了抓包、分析、渗透测试的可能性。

 进入靶机ip地址

 

 点击advanced

 

再点击accept the risk and continue

 

点击owasp bricks

 

进入到这个页面 触碰bricks 并点击最下面的content pages

点击第四个

 

来到这个页面，可以看到，页面的即时响应是一个错误，表示用户不存在。还显示了SQL语句，语句显示应用程序正在将字段(ua)与浏览器发送的用户代理标头字符串（User-Agent）进行比较。 

User-Agent是浏览器在每个请求头中发送的一条消息，用于向服务器标识自己。这通常包含浏览器的名称和版本、基本操作系统和HTML呈现引擎。 

 

由于User-Agent是由浏览器在发出请求时设置的，因此无法在应用程序中更改它。将使用OWASP_ZAP来捕获请求，并设置希望的任何文本作为用户代理。

 点击zap的小绿球使其变成红的，在代理中启用拦截（称为中断）

启用中断后，转到浏览器并刷新页面。回到ZAP，在Request(请求)和Response(响应)选项卡旁边将出现一个新的Break(中断)选项卡。

 

在Break(中断)选项卡中，看到浏览器在刷新页面时发出的请求。在这里，可以更改请求的任何部分；对于本次练习，只更改User-Agent值。例如，将其更改为：123456。

通过点击Play图标（蓝色三角形）提交请求。

现在再次进入浏览器，看看响应。此时网页后的ua变成了123456，恭喜你修改成功了

总结

在本小节中，使用ZAP代理拦截了一个有效的请求并修改了ua标头，验证了服务器已经接受提供的值。ZAP起到一个中间人的作用，可以任意修改浏览器提供给服务端的请求。

 另一个改变User-Agent的方法是使用用户代理切换器，设置Up Kali Linux and the Testing Lab。 

提示：如果每次测试不同的值都设置不同的User-Agent，在渗透测试中是不切实际的