安装
官网地址
github地址:https://github.com/zaproxy/zaproxy/wiki/Downloads
OWASP ZAP 官方下载地址:https://www.zaproxy.org/download/
注意:依赖java环境
配置
代理设置
浏览器和客户端需要保持一致,默认使用127.0.0.1:8080即可
浏览器端
chrome://settings/
搜索代理-打开计算机代理设置-设置局域网代理:
客户端
工具-选项-Local Proxies:
Chromedrivers安装
- 下载地址:http://chromedriver.storage.googleapis.com/index.html
- 解压压缩包,找到chromedriver.exe复制到chrome的安装目录(C:\Users\Administrator\OWASP ZAP\webdriver\windows\32,这是ZAP默认配置路径,避免二次配置,工具-选项-Selenium)。复制chromedriver.exe文件的路径并加入到电脑的环境变量中去
https证书
- 工具-选项-Dynamic SSL Certificates
- 生成证书,保存
3.chrome://settings,搜索“证书”
4.管理证书-导入证书
使用教程
客户端工具请求流程图
谷歌浏览器——》ZAP代理——》服务器
进程保留
初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程。
保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果等。
一般来说,如果对固定的产品做定期扫描,应该保存一个进程做为长期使用,选第一或者第二个选项都可以。
如果只是想先简单尝试ZAP功能,可以选择第三个选项,那么当前进程暂时不会被保存
快速扫描
Automated Scan
输入需要扫描的网址,点击“攻击”即可
结果分析
等待上述快速测试完成以后,我们就可以拿到ZAP提供的测试结果进行分析。
快速测试中,ZAP会产出以下一些产物:
被测站点地图及页面资源
所有请求、反馈记录
安全性风险项目列表
其中我们最关注的当然是安全性风险项,ZAP将做出以下标识
导入漏洞信息
在报告菜单中,选择需要导出的格式
- HTML报告-生成“.html”文件
- XML报告-生成“.xml”文件
- Makrdown报告-生成“.md”文件
- JSON报告-生成“.json”文件
主动扫描
浏览器打开需要扫描的项目地址,站点处会显示所有相关url
爬取网站
使用ZAP做为浏览器代理,配置好代理的情况下,使用浏览器进行任何站点的访问都会经过ZAP,这时就会在ZAP的context记录里留下该站点记录
选择一个站点,右键选择攻击模式
主动扫描
右键点击目标站点,选择攻击->主动扫描,就可以触发主动扫描
结果分析
查看告警
简单攻击
爬行出网站的所有链接页面
手动爬行网站后,选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children)
owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)
主动扫描
以上工作做完以后,就可以选择该站点进行active scan(主动扫描)
主动扫描上面有一些相关 设置,例如:信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置,不是很了解的朋友们只需要用默认的即可!
警告分析
最后:主要就是查看扫描结果,主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果
结束扫描
结束扫描,关闭ZAP软件后,需要将浏览器的代理更改回原来的配置,否则浏览器无法使用