app安全测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置

最新推荐文章于 2025-04-25 01:15:00 发布
最新推荐文章于 2025-04-25 01:15:00 发布
阅读量6k 收藏 7
点赞数 2
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42610167/article/details/107961612
版权

ZAP本地代理设置

如前文所言,ZAP的工作机制,是通过“中间代理”的形式实现。

在这里插入图片描述

ZAP的代理设置可以从菜单中的:工具 - 选项 - Local Proxies加载。

在这里可以设置ZAP用来接受接入请求的地址和端口等。
在这里插入图片描述

地址

ZAP将要使用的本地地址。所有的可用地址都会被自动检测到并且列出。

无特殊要求可以直接使用localhost或127.0.0.1。

端口

ZAP将会监听的端口,默认8080。如与本机其他服务端口冲突(比如tomcat也是默认使用8080)可以修改使用其他端口。

基本上配置好地址和端口,ZAP的代理就已经设置完毕可以开始监听了。除此之外还有几项设置:

Behind NAT

表明ZAP本地代理将会使用NAT模式。选择此项后,ZAP会尝试确定公网IP,以检测和处理从公网IP接入的请求。

这个选项只对以服务(API)模式应用ZAP时有效。

Remove Unsupported Encodings

允许代理将不支持的编码从"Accept-Encoding"请求头中移除,这样代理不会对响应做出转码。

如非专门测试转码,此选项应始终保持勾选。

使用不支持的编码的信息将不会被扫描(主动、被动都不会)。

Security Protocols

允许选择接入连接(比如浏览器)可使用的SSL/TLS版本。最少需要选择一个版本,而且不被JRE支持的版本将不能选择。

SSLv2Hello协议必须与其他SSL/TLS结合使用。

以上的设置对于主代理和附加代理都生效。

附加代理

在附加代理模块,我们可以按照需求添加更多的代理地址和端口让ZAP进行监听。

拦截代理/透明代理

ZAP本地代理也可以被设置为拦截/透明代理。透明代理一般用来将内网请求进行拦截再转发,比如常见的上网监控管理就是使用拦截代理实现。

比如,你有一台测试用的Linux机器,那么通过以下命令可以把所有HTTP和HTTPS路由到ZAP的监听地址(例:172.16.100.38:8080):

iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-destination 172.16.100.38:8080
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 172.16.100.38:8080

客户端代理设置

Chrome (on Windows)

点击右上角“自定义及控制chrome”
选择“设置”
选择“高级”
选择“打开代理设置”
然后按照局域网设置

Firefox (on Windows)

打开“菜单-选项”
选择“高级”
选择“网络”
选择“连接-设置”
选择“手动配置代理”
填入ZAP本地代理地址和端口
勾选“为所有协议使用相同代理”

在这里插入图片描述

Windows局域网代理

打开“Ineternet选项-连接”
点击“局域网设置”
选择“为LAN使用代理服务器”
填入ZAP本地代理地址和端口

在这里插入图片描述

OWASP ZAP之API 请求基础知识
LYX_WIN
01-04 584
ZAP API 提供对 ZAP 大部分核心功能的访问,例如主动扫描器和蜘蛛。ZAP API 在守护进程模式和桌面模式下默认启用。如果您使用 ZAP 桌面,则可以通过访问以下屏幕来配置 API:ZAP 需要 API 密钥才能通过 REST API 执行特定操作。必须在所有 API“操作”和某些“其他”操作上指定 API 密钥。API 密钥用于防止恶意网站访问 ZAP API。强烈建议您设置密钥,除非您在完全隔离的环境中使用 ZAP
OWASP-ZAP扫描器的使用
热门推荐
谢公子的博客
11-15 1万+
目录 OWASP-ZAP 更新 代理 目录扫描 主动扫描(Active Scan) 扫描结果 生成报告 OWASP-ZAP OWASP Zed攻击代理ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以...
app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
qq_42610167的博客
08-12 2509
概览 本文意在对于OWASP’s Zed Attack ProxyZAP)软件做一个基本使用指南介绍。 ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。 为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP安全测试进行过于深入的讨论。 安全测试基础 软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。 安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。 常见的安全性测试类型
信息安全技术(二)— 使用ZAP代理查看和修改请求
Wine_in_glass的博客
06-01 643
心得体会:通过此次实验,我对信息安全技术这门课程又学习到了一个新的知识点,技术又得到了一次小小的提升,本门课程虽然学习的难度比较大,但是经过我多次的磨练,我已经可以正常的使用其中学到的知识点了,相信我通过不断的努力,我一定可以掌握好本门课程的。
Web应用程序安全测试工具:OWASP ZAP
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
04-25 988
OWASP ZAP 是一款功能强大且灵活的Web应用程序安全测试工具,它免费、开源,并且拥有庞大的社区支持。无论是安全专业人员还是开发人员,都可以利用 ZAP 来有效地识别和修复Web应用程序中的安全漏洞,从而提高应用程序的整体安全性。熟练掌握 ZAP 的使用对于保障Web应用程序的安全至关重要。
ZAP设置代理
weixin_44191051的博客
03-31 233
浏览器配置:添加代理插件,保持跟ZAP配置一致,地址,端口均要配置一样。需要进入ZAP客户端导出ZAP root证书,保存后安装。点击下载后证书,安装,同时设置始终可信任。
OWASP zap 代理设置
Information_Xx的博客
12-08 4313
OWASP zap 可以对网站进行爬虫,此时需要进行代理设置。 其默认监听地址及端口为 localhost 8080 如果我们想对某浏览器进行监听,需对其进行代理设置,以火狐浏览器为例: 设置代理为 127.0.0.1:8080 ZAP代理设置为:工具—>选项—>Local Proxies 注意:此时如果直接打开火狐浏览器是无法正常访问网站的,我们需要从ZAP中打开浏览器实现抓包,如下图: ...
owasp-zap
weixin_44940180的博客
08-22 430
什么是owasp-zap ZAP以架设代理的形式来实现渗透性测试,类似于burp抓包机制。 他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描,甚至是改包再发送。 启动owasp-zap 浏览器设置代理 代理设置好后,访问任何流量都会经过owasp-zap 功能 爬取页面 输入的账号/密码都有记录 主动攻击 可以直接使用url或者使用爬取到的页面右键发送到攻击块 扫描结果
APP 安全测试OWASP Mobile Top 10)--后篇之二
一杯咖啡的渗透记忆
03-08 2312
接续:APP 安全测试OWASP Mobile Top 10)--后篇之一
zaproxy-website:OWASP ZAP网站的来源
04-09
建议的开发设置是使用Docker。 # Build image docker build -t zaproxy-website . # Start container with image of zaproxy-website docker run -it -v " $( pwd ) /site:/app/site " \ -v " $( pwd ) /src:/app/...
【自动扫描的艺术】:OWASP Zap优化Web安全测试流程的5大策略
OWASP Zed Attack ProxyZAP)是一个易于使用的集成渗透测试工具,它为Web应用的安全提供了一个免费、开源的平台。它是由OWASP(开放式Web应用安全项目)开发的,目的是帮助开发者和安全测试者发现Web应用中的安全...
OWASP移动安全测试指南-python开发
06-18
OWASP 移动安全测试指南 这是 OWASP 移动安全测试指南 (MSTG) 的官方 GitHub 存储库。 MSTG 是移动应用安全测试和逆向工程的综合手册。 它描述了用于验证 OWASP 移动应用程序验证标准 (MASVS) 中列出的控件的技术...
OWASP ZapOWASP Top 10】:如何使用Zap扫描和防范常见安全风险的完整策略
![【OWASP ZapOWASP Top 10】:如何...OWASP Zap(Zed Attack Proxy)是一个广泛使用的免费开源安全工具,专门设计用来帮助安全测试人员自动发现Web应用程序的安全漏洞。Zap的用户界面友好,支持多种操作系统,如Wind
OWASP ZAP对移动应用的安全性测试
u013465115的博客
05-12 2020
OWASP ZAP在做web网站安全测试时,也可以对移动端应用进行安全性测试。 通过对手机移动应用渗透性测试扫描,通过zap这个中间代理的形式,截取所有客户端与服务器的交互请求进行测试。 1、需要手机wifi和zap代理处于同一局域网环境下。 2、进入到手机“设置–无线网络–WLAN”中; 3、选择连接的网络,点击高级设置选项; 4、选择代理方式为“手动”,填入zap地址和端口号。 配置好代理后,移动应用上的所有出入信息都将被zap截获,在截获的同时zap会将站点进行被动扫描。 在连上zap代理后,可对被
owap-zap之截断代理
高毅的博客
12-25 2260
以下简称zapzap启动后,会默认启动8080端口监听。 打开kali中的Firefox,安装autoproxy 插件, 安装完成后,会看到“福”,点击“首选项”-->“代理服务器”-->“编辑代理服务器”, 最后一个,8080, 最后,点击“福”,由红色变绿色,表示此时浏览器发出的请求都将经过zap
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
Javachichi的博客
09-06 1万+
Zed Attack ProxyZAP)是一个免费的开源渗透测试工具,在 软件安全项目 (SSP)。ZAP 专为测试 Web 应用程序而设计,既灵活又可扩展。ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目的地。它可以用作独立应用程序和守护进程。如果已在使用另一个网络代理(如在许多企业环境中),则可以将 ZAP 配置为连接到该代理
如何使用ZAP代理查看和修改请求
m0_64845603的博客
05-26 939
如何使用ZAP代理查看和修改请求
app安全测试OWASP ZAP 2.8 使用指南(四):ZAP扫描移动应用安全
qq_42610167的博客
08-12 4046
在做移动应用(APP,小程序等)测试时,需要关注应用安全性。 ZAP是可以用来进行手机移动应用渗透性测试扫描的。 正因为ZAP是采用“中间代理”的形式,截取并扫描所有客户端与服务器的交互请求,作为客户端之一种的移动端应用当然也在其范围之内。 更多ZAP代理原理和设置请翻阅安全性测试:OWASP ZAP 2.8 使用指南):ZAP代理设置 需求 安装于PC端的OWASP ZAP客户端 手机模拟器/真机 安卓设置 我们将移动APP的形式分为两种情况: 被测APP不使用HTTP协议,安卓机器已被root,请使
使用 OWASP ZAP 进行安全测试
软件测试技术交流分享
10-28 1562
OWASP ZAP (Zed Attack Proxy) 是一个开源的安全测试工具,专门用于发现 Web 应用程序中的安全漏洞。它非常适合开发人员和测试人员在开发和测试过程中使用,以确保应用程序的安全性。本文将介绍 OWASP ZAP 的基本使用方法和一些常见的测试场景。 ​
使用Zap和Glue进行Web App安全自动化测试的实践指南
标题“webdriverio-zap-proxy:演示-如何使用Zap和Glue轻松构建Web App安全测试”指出了本文档的核心主题,即通过一个演示项目展示如何将OWASP Zap和Glue集成到使用WebdriverIO框架的自动化测试中,以此来实现Web...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值