使用ZAP寻找敏感文件和目录(信息安全技术二)第五章5.4使用代理、爬行器和爬虫

已于 2023-05-28 21:02:01 修改
阅读量187 收藏 1
点赞数 2
分类专栏: 网络渗透测试 Kali Linux2 实践指南 文章标签: 网络 爬虫 linux 运维 服务器
于 2023-05-28 20:18:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73988078/article/details/130916822
版权

文章目录

前言

OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言编写。是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本节中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。

一、实验的目的

所谓代理服务器,是一个“中间人”的角色,在你和服务器之间传递数据。相当大比例的代理服务器可以以网站的形式存在,你只需打开代理服务器的网站,然后输入你希望访问的链接,就可以像平时浏览网页一样操作了。代理的工作原理是:由代理服务器自己去访问你的目标网站,并加载它的内容,然后再把这些加载过的内容传递到你的窗口上。这样就相当于你在浏览目标网站了。因此代理经常被叫做“梯子”或者“桥”。使用代理的好处是,你不需要直接链接到目标网站,因此目标网站就无法获取你的IP地址,取而代之获取的是代理服务器的IP地址。

这样你就可以隐藏你的位置信息了。 当你访问大多数代理服务的时候,他们通常会要求你选择一个代理服务器所在的国家。你可以通过对应国家的代理服务器访问目标网站,这样目标网站就会认为你是在对应国家进行访问的。 比如,如果你想要访问的网站屏蔽了你所在的国家,那么你可以用代理服务器换上其他国家的IP,只要代理服务器所在的位置不在屏蔽范围之内,你就可以通过代理服务器实现访问了。为了使这个程序工作,需要使用ZAP作为Web浏览器的代理。

二、实验步骤

1.在Kali Linux中启动OWASP ZAP。

图1-1、打开kali linux.然后点击左上角龙的图标,就出现了这个画面。
在这里插入图片描述

图1-2、在任务栏中搜索zap。然后双击它,打开。
在这里插入图片描述

图1-3、打开后就进入了这个界面,选择第一个,然后点击开始。就可以操作这个软件了。
在这里插入图片描述

2.打开OWASP ZAP,将ZAP中的代理端口由8080改为8088

图2-1、点击工具,找到选项,单击进入。
在这里插入图片描述
图2-2、鼠标左键单击Network,接着选择Local Servers/Proxies。在端口哪里修改为8088。 然后点击OK。

**更改的原因: **

默认情况下,它使用端口8080, 这是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理。
在这里插入图片描述

3.修改kali linux中firefox的代理参数

图3-1、打开Firefox ESR,然后找到settings并单击左键。
在这里插入图片描述
图3-2、然后进入设置界面,在Network Settings的栏目中点击Settings…。

在这里插入图片描述

图3-3、选择Manual porxy configuration,在HTTP Proxy中输入127.0.0.1,port中输入8088。然后点击OK。
在这里插入图片描述

修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。

拿买火车票打比喻:配置了代理后,Firefox要去买火车票就必须通过ZAP,Firefox自己不能去买火车票。代购/票贩子/黄牛党。

4. 在kali linux中使用firefox打开靶场网页http://192.168.56.151,再点击页面中的WackoPicko,观察过程中ZAP的情况。

图4-1、输入靶场IP:192.168.56.151,然后回车。
在这里插入图片描述

图4-2、进入靶场,找到此次实验的目标:WackoPicko网站,点击进入。
在这里插入图片描述

5. 在底部面板中,我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。

在这里插入图片描述

三、总结

OWASPZed Attack Proxy (ZAP)是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。
代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到想要浏览网页的服务器,而是发送到定义的地址。然后ZAP将请求转发给服务器,但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同,需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。如果文件存在,服务器将相应地做出响应,如果它们不存在或者当前用户无法访问,则服务器将返回错误。
如果你仅仅是要破除网站屏蔽,那么代理服务器可能是最简单便捷的方案了。由于所有的工作都是远程服务器完成的,你不需要安装任何东西,只需要访问代理服务器所在的网站,并选择一个国家就可以了。如果你发现某个网站被锁需要快速解决,代理非常适合作为临时解决方案。而正因为很多代理服务器用网页的方式提供服务,你可以在任何操作系统里使用它们。无需安装软件,只需要找到合适的服务器即可。

2021计算机网络技术1班唐望贵
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
关于Web前端渗透-ZAP的基本介绍
qq_35192121的博客
09-20 1282
介绍ZAP的基本概念、功能和用途,以及为什么需要使用ZAPZAP(Zed Attack Proxy)是一款开源的渗透测试工具,是OWASP(Open Web Application Security Project)项目下的重要组成部分之一,它通过模拟攻击和漏洞扫描的方式,帮助安全专业人员发现和修复Web应用程序的漏洞。ZAP提供了开放的API和插件机制,用户可以开发自定义插件,扩展ZAP的功能,提高漏洞挖掘和攻击的效率和准确性。
如何使用ZAP代理查看和修改请求
m0_64845603的博客
05-26 621
如何使用ZAP代理查看和修改请求
使用ZAP寻找敏感文件目录
J06101019的博客
05-31 193
OWASP ZAP 是一个开源的安全测试工具
Kali Linux Web渗透测试手册(第版) - 3.2 - 使用ZAP寻找敏感文件目录
weixin_30572613的博客
12-02 238
翻译来自:掣雷小组 成员信息: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~ 标记红色的部分为今日更新内容。 第三章、使用代理爬行爬虫 3.0、介绍 3.1、使用DirBuster寻找敏感文件目录 3.2、使用ZAP寻找敏感文件目录 ...
深入浅析golang zap 日志库使用(含文件切割、分级别存储和全局使用等)
10-15
主要介绍了golang zap 日志库使用(含文件切割、分级别存储和全局使用等),本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
webdriverio-zap-proxy:演示-如何使用Zap和Glue轻松构建Web App的安全测试
02-06
Zap是一个很棒的工具,可以用来扩展您的Web应用程序并报告发现的安全漏洞。 通过将其集成到自动化测试中,您可以更好地覆盖Web应用程序,因为测试所覆盖的每个页面都将使用Zap进行扫描。 我在网络研讨会上介绍了这...
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
zap-maven-plugin:用于使用 OWASP Zap 代理执行自动化安全测试的 Maven 插件
06-24
zap-maven-插件 用于使用 OWASP Zap 代理执行自动化安全测试的 Maven 插件
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 487
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(
wayne_youlu的博客
04-30 501
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 490
createWs("测试数据", (res) => {
万兆以太网MAC设计(11)完整UDP协议栈仿真
m0_56222647的博客
04-28 1335
目前除了巨帧处理逻辑之外,所有的准备工作都已经结束了,先进行整体的功能验证。
用 Python 进行渗透测试
黑战士的博客
04-28 1114
编写一个端口扫描Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
网络安全实训Day16
Yisitelz的博客
04-26 2102
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
专注 APT 攻击与防御—基于UDP发现内网存活主机
最新发布
weixin_62641226的博客
05-06 347
UDP(User Datagram Protocol)是一种无连接的协议,在第四层-传输层,处于IP协议的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。
Linux内核常用调优参数
虫虫的博客
04-30 876
Linux内核常用调优参数
深入理解网络原理2----UDP协议
m0_74299308的博客
05-04 473
随着时代的发展,越来越需要计算机之间互相通信,共享软件和数据,即以多个计算机协同⼯作来完成业务,就有了⽹络互连。
【嵌入式笔试题】网络编程笔试题
m0_74055118的博客
04-30 1406
网络编程笔试题
owasp zap使用
06-01
OWASP ZAP(Zed Attack Proxy)是一款常用的免费开源...使用OWASP ZAP的工具手动测试应用程序,例如:拦截爬虫代理等。 这只是OWASP ZAP的基本使用,该工具还提供了更多高级功能,例如:自定义脚本、插件等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2021计算机网络技术1班唐望贵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值