ZAP代理抓包

最新推荐文章于 2024-06-21 16:35:38 发布
最新推荐文章于 2024-06-21 16:35:38 发布
阅读量1.8k 收藏 5
点赞数 2
分类专栏: 网络基本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44312507/article/details/103583737
版权

打开http://weather.news.sina.com.cn 收集该页面结果并导出
打开zap,设置相关IP及端口(默认8080)

在这里插入图片描述
在这里插入图片描述
证书导入火狐,
在这里插入图片描述
设置火狐代理
在这里插入图片描述
在zap看到
在这里插入图片描述
下来选择对应请求,导出结果。

在这里插入图片描述
结果如下:

1 GET http://weather.news.sina.com.cn/
3 GET http://i3.sinaimg.cn/dy/init_date.js
5 GET http://i1.sinaimg.cn/unipro/pub/suda_m_v629.js
6 GET http://i1.sinaimg.cn/home/sinaflash.js
12 GET http://php.weather.sina.com.cn/js/citydata.js
15 GET http://php.weather.sina.com.cn/js/qunar.js
16 GET http://i.sso.sina.com.cn/js/genvisitor.js
17 GET http://d1.sina.com.cn/litong/zhitou/sspnew.js
20 GET http://news.sina.com.cn/js/952/dmcode/rightdmcode_weather.js
21 GET http://news.sina.com.cn/js/87/20140221/addfavorite.js
25 GET http://weather.news.sina.com.cn/iframe/37/2010-09-02/1/weather_yc.css
26 GET http://weather.news.sina.com.cn/images/figureWeather/nephogram/new/weather.js
27 GET http://php.weather.sina.com.cn/js/malldatepicker.js
28 GET http://weather.news.sina.com.cn/js/43/20140414/home/suggest_fc.js
47 GET http://weather.news.sina.com.cn/js/37/2010-09-02/2/weather_common.js
61 GET http://weather.news.sina.com.cn/iframe/37/2010-09-02/5.html
63 GET http://weather.news.sina.com.cn/iframe/4/2010-10-18/45.html
64 GET http://php.weather.sina.com.cn/iframe_weather.php?type=w
68 GET http://php.weather.sina.com.cn/iframe/hotspots.php
69 GET http://d8.sina.com.cn/litong/zhitou/sinaads/release/sinaads.js
91 GET http://php.weather.sina.com.cn/iframe/hotCity.html
92 GET http://php.weather.sina.com.cn/iframe/calendar.html
119 GET http://sina.wrating.com/a1.js
177 GET http://i3.sinaimg.cn/home/sinaflash.js
192 GET http://www.sinaimg.cn/unipro/pub/suda_m_v629.js
200 GET http://php.weather.sina.com.cn/css/weather_yc.css?=20120619
201 GET http://www.sinaimg.cn/unipro/pub/suda_s_v851c.js
218 GET http://static.bshare.cn/b/buttonLite.js
219 GET http://static.bshare.cn/b/bshareC0.js
222 GET http://i0.sinaimg.cn/dy/js/jquery/jquery-1.7.2.min.js
225 GET http://php.weather.sina.com.cn/js/SuggestServer_3.js
226 GET http://php.weather.sina.com.cn/js/weather_common.js
227 GET http://340.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA%7Cweather%7Cweather_pv&db=sina&border=0&local=yes
231 GET http://php.weather.sina.com.cn/css/weather_yc.css?=20101224
243 GET http://d4.sina.com.cn/litong/zhitou/sinaads/src/spec/sinaads_ck.js
250 GET http://news.sina.com.cn/js/694/2012/0830/realtime.js?ver=1.5.1
257 GET http://static.bshare.cn/b/components/bsStatic.js?v=20180226
267 GET http://php.weather.sina.com.cn/iframe/index/w_cl.php?code=js&day=0&city=%E5%8C%97%E4%BA%AC%2C%E4%B8%8A%E6%B5%B7%2C%E5%A4%A9%E6%B4%A5%2C%E6%AD%A6%E6%B1%89%2C%E6%B2%88%E9%98%B3%2C%E5%B9%BF%E5%B7%9E&dfc=1&random=1550633377845
270 GET http://woocall.sina.com.cn/lib/IO.WebPush4.js
275 GET http://static.bshare.cn/b/engines/bs-engine.js?v=20180226
276 GET http://d9.sina.com.cn/litong/zhitou/sinaads/src/spec/sinaads_ck.html
284 GET http://static.bshare.cn/js/libs/fingerprint2.min.js
285 GET http://static.bshare.cn/b/components/bsMore.js?v=20180226
288 GET http://news.sina.com.cn/iframe/87/store.html?handle=SinaadsCrossDomainStorage.onReady&domain=sina.com.cn
291 GET http://static.bshare.cn/b/styles/bshareS887.js?v=20180226
293 GET http://bshare.optimix.asia/bshare_share_count?Callback=bShare.showCount&url=http%3A%2F%2Fweather.news.sina.com.cn%2F%7Chttp%3A%2F%2Fphp.weather.sina.com.cn%2Fiframe_weather.php%3Ftype%3Dw
302 GET http://detectportal.firefox.com/success.txt
304 GET http://bshare.optimix.asia/bshare_view?Callback=bShare.viewcb&url=http%3A%2F%2Fphp.weather.sina.com.cn%2Fiframe_weather.php%3Ftype%3Dw&h=&uuid=d5300ba5-0b33-4210-857a-edacf1153577&sc=1&l=17&lite=1&ref=http%3A%2F%2Fweather.news.sina.com.cn%2F&ot=%CC%EC%C6%F8%D4%A4%B1%A8_%D0%C2%CE%C5%D6%D0%D0%C4_%D0%C2%C0%CB%CD%F8&cs=GBK&kws=%C6%F8%CF%F3%D4%A4%B1%A8,%CC%EC%C6%F8%CA%B5%BF%F6,%C6%F8%BA%F2,%C2%C3%D3%CE%CC%EC%C6%F8&fp=2852448b9103510f9bb72445a7ff0e6a&b=bs295869
看到结果中并没有明显的对应的天气API(有“中文的城市”字样)。
反复查看确实没有对应关键字,想到
在这里插入图片描述
由于不了解中文对ascii码的转换关系,所以在火狐的请求网址中找到对应请求
在这里插入图片描述
复制非中文的一部分在zap中进行搜索,请求数量减少至5个,逐一排查发现可能的对应API。
在这里插入图片描述
查找相关资料发现这是UIL编码(utf-8编码):
因为在因特网上传送URL,只能采用ASCII字符集
编码规则:%加上两位十六进制数
看到“工具”中,“文字编码,解码,哈希”进行解码和编码。
在这里插入图片描述

所以这个就是,根据城市获取天气情况的API。
下来进行编辑重发。
在这里插入图片描述
打开“手动请求编辑器”
在这里插入图片描述
响应
在这里插入图片描述
3.在zap中添加相应的过滤规则,使得对于https://www.baidu.com 域名下的接口
都不收集,及在历史栏下没有对应接口url(总之就在工具->选项下探索探索)
探索不出来啊,,,还是经过学长指点找到了地方。。。。
在这里插入图片描述
在这里插入图片描述
需要正则表达,经过网上资料,和上下类比
在这里插入图片描述
得出了成果:^https?😕/m.baidu.com/.$
其中^表示匹配字符串的开始;?表示零个或一个; . 表示一个或多个除换行符外的任意字符;$表示匹配字符串结束。
4.尝试收集手机app http和https流量(自己要截取手机端收集http流量的app图标
一张即可)
在这里插入图片描述

,,,“自己要截取手机端收集http流量的app图标

WSY12_16
关注
专栏目录
信息安全技术(二)— 使用ZAP代理查看和修改请求
Wine_in_glass的博客
06-01 505
心得体会:通过此次实验,我对信息安全技术这门课程又学习到了一个新的知识点,技术又得到了一次小小的提升,本门课程虽然学习的难度比较大,但是经过我多次的磨练,我已经可以正常的使用其中学到的知识点了,相信我通过不断的努力,我一定可以掌握好本门课程的。
利用Owasp Zap Proxy实现正对Web站点的扫描和漏洞发现功能
Brisbane的博客
10-23 3825
Owasp的功能与之前提过的Burp Pro Proxy相类,都具有流量代理、fuzz请求、抓取网页和自动扫描等功能,不同的是Owasp提供了更加简洁的操作界面,Burp Pro Proxy支持Burp扩展能够具有更强大的定制处理能力。 同metasploitable一样,Owasp Zap Proxy提供了一个存在漏洞的渗透测试演练工具OWASPBWA,我们可以通过这个虚拟机练习使用Owasp ...
Web1.2 利用Burp、Zap抓包工具抓取报文数据包(浏览器数据包,移动设备数据包等)
WSA1635的博客
07-13 1008
引言 上一篇Task1.1中利用浏览器进行抓包的方式有一定的局限性: 例如Google的开发者工具无法直接对请求进行编辑重发,需要通过Copy as fetch/powershell的方式间接实现 火狐浏览器可以直接对请求进行编辑,但无法做到本地保存(好像)。尤其当我们想要抓取移动设备数据包时,浏览器抓包更无法实现。 因此我们需要一款抓包工具,常用的是Burpsuite,Burp的教程有很多,实际上手也比较简单,具体可以参考这篇 链接: Burpsuite实战指南. Zap也可以进行抓包分析(虽然用的不习惯
【网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
最新发布
Zane的博客
06-21 1987
漏洞扫描:ZAP工具的基础使用
使用ZAP代理查看和修改请求
m0_46028468的博客
05-31 660
来到这个页面,可以看到,页面的即时响应是一个错误,表示用户不存在。在这里,可以更改请求的任何部分;在本小节中,使用ZAP代理拦截了一个有效的请求并修改了ua标头,验证了服务器已经接受提供的值。在这本节中,将使用OWASP_ZAP作为web代理,拦截请求,并在更改一些值后发送到服务器。完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。:如果每次测试不同的值都设置不同的User-Agent,在渗透测试中是不切实际的。
webdriverio-zap-proxy:演示-如何使用Zap和Glue轻松构建Web App的安全测试
02-06
描述 将集成到使用框架开发的现有自动化测试中的示例项目。 Zap是一个很棒的工具,可以用来扩展您的Web应用程序并报告发现的安全漏洞。 通过将其集成到自动化测试中,您可以更好地覆盖Web应用程序,因为测试所覆盖的每个页面都将使用Zap进行扫描。 我在网络研讨会上介绍了这个项目,您可以在找到slidedeck。 在此示例中,我使用进行演示-测试只是尝试打开其中一个页面,以便我们可以看到Zap警报。 我还使用处理Zap发现的警报。 我使用docker和docker-compose通过以下服务docker-compose此设置: Selenium hub和chrome-运行测试。 测试-实际运行自
使用ZAP的爬虫功能
weixin_64383696的博客
05-29 904
OWASP ZAP有非常多的功能,认证扫描也具有多种不同的登录认证方式,通常一款扫描器应当具备手工认证、表单认证、COOKIE认证、脚本录制等方式,本文只讲到了手工身份认证及表单认证,脚本的方式还没有认真去学习,在实际工作中应当多种尝试多种方式,用不同的方式去发现漏洞,提高漏洞发现机率。与其他爬行器一样,ZAP的爬行功能会跟随它在每一页找到的链接,包括在请求的范围内和它内部的链接。在Spider对话框中,我们可以判断爬行是否递归(在找到的目录中爬行)、设置起点和其他选项。开发的免费且开源的安全测试工具。
iOS抓包工具
01-04
同时,PDF文件中的内容可能会提供更具体的步骤和技巧,比如如何生成和安装自签名证书,如何在iOS设备上设置代理,以及如何解析和过滤抓包结果。这些工具不仅对开发者有益,也能帮助非开发人员理解应用的网络行为,...
漏洞扫描工具OWASP ZAP 2.13.0下载
12-22
ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。 同时,ZAP适用于所有的操作系统和Docker的版本,...
使用ZAP寻找敏感文件和目录
2301_78117835的博客
10-26 294
代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。当我们将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到我们想要浏览网页的服务器,而是发送到我们定义的地址。然后ZAP将请求转发给服务器,但我们发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同;我们需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。
漏洞扫描工具OWASP ZAP的下载、安装、使用教程
qq_37776764的博客
04-26 8524
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(超详细)
Web安全—Web漏扫工具OWASP ZAP安装与使用
PP_zi的博客
08-27 5432
本文仅用于安全学习使用!切勿非法用途。 一、OWASP ZAP简介 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。 ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过.
网络安全——OWASP ZAP的使用
weixin_54055099的博客
08-20 1953
OWASP ZAP的使用
Kali Linux使用ZAP的爬虫功能
2201_75509440的博客
06-26 998
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。
ZL_1618的博客
11-03 2949
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
OWASP ZAP上手体验
热门推荐
u013224189的专栏
10-30 2万+
新领到一个任务,试下OWASP ZAP。 工具说明          ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。   下载地址 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project   工具说明
ZAP的爬虫功能介绍及使用】
jsvdb的博客
05-28 1232
ZAP爬虫是一种基于ZAP(Zed Attack Proxy)漏洞扫描工具的爬虫,用于自动化地访问web应用程序的所有页面,并根据页面内容和链接来创建地图,以识别潜在漏洞。它可以帮助安全测试人员更好地了解web应用程序的结构和漏洞,并提供更全面和深入的漏洞扫描。ZAP爬虫同时具有功能强大的过滤器和配置选项,以便于用户控制爬行行为。ZAP爬虫功能是指ZAP代理中的一个自动化工具,它可以模拟用户在浏览器中的行为,以及在Web应用程序中进行常见的攻击。
owap-zap之截断代理
高毅的博客
12-25 2189
以下简称zapzap启动后,会默认启动8080端口监听。 打开kali中的Firefox,安装autoproxy 插件, 安装完成后,会看到“福”,点击“首选项”-->“代理服务器”-->“编辑代理服务器”, 最后一个,8080, 最后,点击“福”,由红色变绿色,表示此时浏览器发出的请求都将经过zap
用Firefox的Proxy Switcher设置代理,及用OWASP ZAP抓包
yuxuanllikeyou的博客
10-04 9192
版权声明:本文为CSDN博主「flurry_rain」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/flurry_rain/article/details/80188625 关于Firefox的手动设置代理,及用OWASP ZAP抓包可以参考 https://blog.csdn.net/flurry_r...
ZAP 2.7入门指南:安装与基础配置
此外,还包括设置基本的接口、配置代理服务器、浏览器插件的安装和使用,以及如何连接到目标网站进行扫描。 文档还提醒用户,尽管ZAP是一个强大的工具,但它并非全面的指南,对于更深入的安全知识和特定的漏洞利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值