app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装

最新推荐文章于 2024-05-10 09:59:43 发布
最新推荐文章于 2024-05-10 09:59:43 发布
阅读量2.2k 收藏 5
点赞数
分类专栏: 安全测试 文章标签: 测试工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42610167/article/details/107961197
版权

概览

本文意在对于OWASP’s Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。

ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。

为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。

安全测试基础

软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。

安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。

常见的安全性测试类型可以分为以下几种:
• 脆弱性评估 – 通常通过工具扫描的形式,评估系统安全性

• 渗透性测试 – 系统被分析并且通过模拟攻击的形式,评估其安全防御能力

• 运行时测试 – 通过终端用户的测试来评估系统安全性

• 代码审查 – 系统代码被评估和审查,以确定系统安全防御能力

注意(产品)风险评估并不包含在这个列表内。这是因为风险评估实际上并不是一种测试,而是对于不同风险的一种预估和分析,以及对于相应风险规避举措的拟定。

关于渗透性测试

渗透性测试,由测试人员扮演外部攻击者的角色,目标在于攻破系统以达到盗取数据或类似于拒绝服务攻击等目的。

渗透性测试的优势在于很少误报安全性问题(其它类型的测试,报出的安全性问题很多时候并不会真实构成被攻击风险)。

但是渗透性测试也是一种非常耗时的测试。

渗透性测试也用来测试系统防御机制,验证响应计划,并且确定安全性策略的遵循。

自动化的渗透测试是持续集成验证的重要部分,他有助于发现新的安全性风险,也能很快的发现在快速迭代过程中出现的安全性回退。

渗透性测试过程

手工渗透测试和自动化渗透测试都经常被使用,通常以结合起来的形式,来测试从服务器,到网络,到设备,到终端的所有链路。

本文则主要瞩目于Web应用或者说网站渗透性测试。
渗透性测试通常遵循以下阶段:

• 探索 – 测试人员学习被测系统。包括了解整个系统体系内被使用的部件,包括哪些终端,对于软件和系统而言安装了哪些补丁,等等。

这个过程中测试人员也会查找系统内的隐藏内容,已知安全风险,以及其它漏洞的表现。

• 攻击 – 测试人员尝试利用已知风险或可疑的漏洞,以证明这些风险和漏洞的存在。

• 报告 – 测试人员将测试的结果进行汇报,包括发现的系统漏洞,以及漏洞是如何被利用的,利用这些漏洞的困难程度,以及漏洞被利用的严重性。

渗透性测试目标

渗透性测试的终极目标在于搜寻系统的漏洞,这样这些漏洞可以被处理。

也可以用来确定系统不会被一些已知的风险所影响。

当系统漏洞被被修复以后,重新进行渗透性测试以确定系统漏洞已被弥补。

ZAP简介

Zed Attack Proxy (ZAP)是一个免费开源的渗透性测试工具,由OWASP组织开发和维护。

ZAP被设计用来专门测试Web应用的安全性,并且具有非常强的灵活性和可扩展性。

ZAP的核心机制是大家耳熟能详的“中间代理”。他通过架设在测试人员的浏览器和Web应用服务之间,这样他就可以拦截和审查浏览器和应用服务之间的信息交互。

必要的情况下,ZAP可以完成改包和重发。
在这里插入图片描述

如果已经有一个网络代理存在,ZAP也可以被配置为连接到已存在的代理。
在这里插入图片描述
ZAP提供了一系列针对不同安全技能等级的功能 - 从开发,到安全测试新手,到安全测试专家。

ZAP支持所有主流的操作系统以及Docker,并不强制绑定使用某一OS。

同时在ZAP客户端中的ZAP Marketplace中,也提供了非常多的免费的附加组件,以提供多种功能。

由于ZAP是一个开源软件,我们也可以查看他的源码,了解其功能的实现方法。

所有人都可以资源为ZAP贴砖加瓦,包括修复bug和增添功能。

安装和配置

ZAP提供了Windows, Linux以及Mac OS/X的安装包。

也提供了Docker镜像,下载地址可以在下文中找到。

安装

首先,在系统实施渗透性测试的系统中安装好ZAP。从以下地址下载适合你系统的ZAP安装包,并且执行:

https://github.com/zaproxy/zaproxy/wiki/Downloads

注意ZAP需要JDK8以上的版本来运行,所以安装的系统上需要预先安装JDK8以上版本。

Docker版不需要安装Java。

安装完成以后,就可以启动ZAP了。

保持会话

第一次启动ZAP,会被问到你是否要保持ZAP会话。

ZAP会话会默认以预设的名称和地址,记录到磁盘中的HSQLDB数据库中。

如果你不希望保持会话,那么在你退出ZAP时,这些会话文件会被删除。(意味着下次启动ZAP将无法看到之前的操作/测试记录)

如果选择保持会话,会话信息会被保存到本地数据库,这样下次使用时可以继续上次的操作。

选择保持会话,会提示为本次会话命名并选择存放地址。
在这里插入图片描述
第一次使用时,可以保持默认选项并开始,这样本次会话将不会被保持。

测试之道.
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP(web渗透试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透试软件)安装包以及操作
安全测试工具-OWASP ZAP使用
07-30
在我们日常的试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
2023年度最佳的10款App安全测试工具!!!
logic1001的博客
12-06 1626
内容概要:包括 内网、操作系统、协议、渗透试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…伴随移动 App 的广泛应用,App 安全日益重要。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。QARK 由领英开发,它是一款静态代码分析工具,可提供有关 Android App 安全威胁的信息,并给出简洁明了的问题描述。
最佳的10款App安全测试工具
Python_0011的博客
04-06 1366
Veracode 的 MAST(移动应用程序安全测试)服务可以确定移动 App 中的安全问题,并立即采取行动解决问题。它能提供诸如移动 app 安全测试、web app 安全测试和基于计算机的培训解决方案等服务。对 App 开发者或开发团队而言,需要最好的移动 App 安全测试工具来确保 app 安全。它提供领先的技术覆盖范围,可对移动 App 进行360°的安全性试。QARK 由领英开发,它是一款静态代码分析工具,可提供有关 Android App 安全威胁的信息,并给出简洁明了的问题描述。
推荐开源项目:Zed Attack ProxyZAP)——你的安全测试得力助手
最新发布
gitblog_00048的博客
05-10 302
推荐开源项目:Zed Attack ProxyZAP)——你的安全测试得力助手 项目地址:https://gitcode.com/zaproxy/zaproxy 1、项目介绍 Zed Attack Proxy (ZAP) 是一个全球广泛使用的免费安全工具,由一群国际志愿者团队积极维护和更新。它的设计目标是帮助开发者在开发和试阶段就能发现并修复其Web应用程序的安全漏洞。无论你是安全测试新手还是...
Web 渗透试 - Zed Attack Proxy
weixin_30753873的博客
02-01 1325
Zed Attack Proxy (Zaproxy) 是一个渗透试工具,用来使Web应用更安全。虽然 ZAP 可以自动检一些安全问题,它主要用于手动帮助您寻找安全漏洞。 项目地址:https://code.google.com/p/zaproxy/ 转载于:https://www.cnblogs.com/taskiller/archive/2013/02/01/2888933.html...
mac-安全测试工具owasp zap下载
06-13
owasp作为一个开源免费的安全测试工具,集成了各种工具的渗透试框架,可以用来主动扫描和手动扫描,也可以用里面的库进行渗透试,里面的内容也实时都在更新,建议有安全测试需求的试人员练手使用。 由于官网...
owasp-zap-historic:历史存储ZAP报告,并将当前ZAP结果与最新ZAP结果进行比较,以更改警报
04-30
OWASP-ZAP-Historic(OZH)是一个免费的自定义html报告,它通过将执行结果信息存储在MySQL数据库中并使用Flask从数据库生成html报告来提供历史ZAP执行结果。 它大量借鉴了adiralashiva8为所做的工作 MYSQL + Flask +...
ZAP2.10_Windows_x64安装文件
05-27
Zed攻击代理(ZAP)是一个免费的开源渗透试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人代理”。它位于试人员的浏览器和Web应用程序之间,以便它可以拦截和检查在浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目标位置。它可以用作独立应用程序,也可以用作守护进程。 安装包仅适用Windows 64位系统。
ZAP-Mini-Workshop:用于演示OWASP ZAP的API和脚本功能的交互式IPython Notebook-OWASP ZAP 2.8.0
02-04
ZAP-Mini-Workshop:用于演示OWASP ZAP的API和脚本功能的交互式IPython Notebook-OWASP ZAP 2.8.0
zap-maven-plugin:用于使用 OWASP Zap 代理执行自动化安全测试的 Maven 插件
06-24
zap-maven-插件 用于使用 OWASP Zap 代理执行自动化安全测试的 Maven 插件
OWASP ZAP下载安装、使用(详解)教程
热门推荐
子曰小玖的博客
02-22 2万+
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能试人员,甚...
Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别(介绍、试对象对比、优劣对比、使用选择)
qq_37776764的博客
05-16 8110
Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别(介绍、试对象对比、优劣对比、使用选择)
安全测试工具升级:基于owasp zap工具的安全扫描流程优化思路
deerxiaoluaa的博客
09-27 1541
近年来,随着国际形势和网络空间环境日趋复杂,各方面对网络安全重视程度日益提升,网络安全也已纳入了国家战略。在此背景下,系统的安全测试与防护就显得越来越重要,项目组在进行基于owasp zap工具进行安全扫描过程中,对工具的使用及扫描流程进行了深入分析,对常规扫描方式进行了优化。 zap提供了强大的路径爬虫及漏洞扫描功能,常规方式下,可以通过配置代理来录制前台页面,点击系统页面功能后抓取网站路径,再通过“爬行”、“强制浏览目录”等功能进行路径的分析与扩展,最后通过“主动扫描”功能进行漏洞扫描,生成漏..
OWASP ZAP下载安装
07-27
请注意,以上步骤仅提供了一般的下载安装指南。具体的步骤可能会因您的操作系统和版本而有所不同。建议您在下载安装OWASP ZAP之前,查阅官方文档或相关资源,以获取更详细的指导和最新的信息。 #### 引用[....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值