Kali扫描 owasp_zap的使用

最新推荐文章于 2024-06-17 10:58:14 发布
最新推荐文章于 2024-06-17 10:58:14 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: # 网安—Kali的使用 文章标签: linux kali web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44867435/article/details/98115886
版权

Kali——WEB渗透(八)

学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。

—— 扫描:OWASP_ZAP——

一.使用
(1).截断代理

  1. 所有截断代理的结果都在左侧"Sites"中显示。
  2. 代理侦听端口为8080。
  3. 可以将每次扫描结果保存,在下一次打开QWASP_ZAP时可以再次打开这些会话。

(2).更新插件

  1. 图形化界面:工具栏“Manage Add-ons”。
  2. 可以更新插件(Installed已安装中)和安装插件(Marketplace市场),分为三个类型,分别为Release(发布的正式版本)、Beta(未经完整测试的版本),Alpha(不成熟的版本),前两种建议安装。

(3).被动扫描和主动扫描
<1>.被动扫描和其他工具无异。
<2>.主动扫描(需要提供身份认证)可以直接在被动扫描出来的站点单击鼠标右键,选择攻击->“Active Scan····”(只扫描,不爬网)。

(4).FUZZ(模糊攻击)

  1. 流程:
    <1>.在工具中找到“FUZZ”,选择爬出来的站点。
    <2>.自动生成FUZZ攻击页面,选择需要替换的字符,单击"ADD"。
    <3>.再次点击"ADD"选择类型,每一行代表一个替换数据。
    <4>.确认后选项卡将出现Fuzzy的信息。

  2. 筛选:
    "Code"通过排序可以看到响应码;
    "Size Resp Header"头文件的大小(成功与不成功的头文件差别很大)。

  3. 通过在替换界面引入字典可以进行暴力破解密码。

(5).API(应用程序编程接口)

  1. 调用API,通过对相应功能的修改,对特定的目标进行专门的扫描。
  2. 在浏览器中开启OWASP_ZAP的大力,进入地址:http://zap/
    可以查看官方文档。
  3. 这项功能设计编程,有需要的话可以自行学习。

(6).扫描模式

  1. 扫描模式分为四种:Safe、Protected、Standard、ATTACK。
  2. Safe模式:安全模式,以安全的模式扫描,不会有任何破坏的操作,但是扫描的漏洞数量和质量都最低。
  3. Protected模式:保护模式,对指定的web应用进行略有破坏性的扫描操作。
  4. Standard模式:标准模式,会有一些破坏性的操作,但不会进行危险性的操作。
  5. ATTACK模式:攻击模式,进行可以进行的任何操作,扫描的漏洞数量和质量都最高。

二.扫描策略
(1).选择策略
右键“攻击”->“Active Scan····”->“Pollcy”。
(2).制定策略

  • 默认策略:Default pollcy
  • 图形化工具:工具栏->“扫描策略”->“Add(添加)”
  • Default Alert Threshold:报警阈值,该值越高,漏洞报告越少,会报给用户已确认的漏洞
  • Default Attack Strength:攻击强度

三.其他

1.Anti CSRF Tokens
有些网站为了防止CSRF攻击,会在每次返回客户端信息的时候,随机生成一个token,只需要添加这个token就可以,工具栏“options”->“Anti CSRF Tokens”->"Add’

2.https证书
加装证书,"工具栏"options”->“Dynamic SSL Conificates”

3.Scope/Centexts/filter 站点过滤
“右键”->“Include in Contexts”->“New Context”
快速定位某个站点

4.身份认证
工具栏“Session Properties···”->“Authentication”

  • HTTP/NTLM身份认证
  • Manual 身份认证(默认,记录服务器返回的session,PHP SESSION)
  • Form-based 身份认证
  • Script-based 身份认证(基于脚本实现身份认证,位置在:工具栏的“+”->新建Scripts->“Authentication”)

5.HTTP Sessions——default sessions tokens & site session tokens

  • 添加session:工具栏“选项”->“HTTP Session”->“Add··”
  • 查看目前扫描站点的session:工具栏“查看”->“Show tab”->“HTTP Session”
  • 切换不同的session ,来查看不同不同用户
胡乱huluan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux工具集简介 - OWASP ZAP
lendq的Blog
02-07 1526
界面化管理,有不同模式 ,可攻击 基本设置 设置 内容 菜单栏–>>工具–>>选项–>>本地代理 ie通过本地代理进行测试 菜单栏–>>工具–>>选项–>>connection 设置timeout时间及网络代理、认证 菜单栏–>>工具–>>选项–>>Spider 设置连接的线程等 菜单栏–>>工具–>>选项–>>暴力破解
Kali linux 学习笔记(四十三)Web渗透——扫描工具之OWASP_ZAP 2020.3.19
闵行小鱼塘
03-19 1207
扫描工具之OWASP_ZAP
Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
喜欢Python编程的程序员柚柚呀
06-17 744
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描
OWASP ZAP基本使用教程(Kali版)
weixin_43817670的博客
06-08 8930
简介 OWASP ZAP是一款非常好用的测试工具,也是Kali里自带的工具,一键就可以扫描多种不同类型的漏洞,最好用的一点就是他可以自动爬取子域名。非常的快捷方便下面我就给大家带来OWASP ZAP的基本使用方法Let’s go。 设置网络代理 使用ZAP之前我们要先设置一下网络代理,我们打开浏览器(本人用的是Kali自带的火狐浏览器),选择Preferences 之后我们找到Network Settings 点击 Setting进行网络代理的设置 点开之后我们设置我们的网络代理,由于zap默认的端口为
Kali安装OWASP
weixin_48876267的博客
10-22 3515
我是2019版的kali,里面并没有自带OWASP工具,因为OWASP不再更新的因素,所以新版kali将它移除了 安装OWASP apt-get install zaproxy #以下都是安装软件时遇到的问题 kali配置为NAT,kali配置为dhcp自动分配 ping www.baidu.com //ping不通百度,DNS设置问题,修改DNS配置文件 配置DNS文件 vim /etc/resolv.conf # Generated by NetworkManager search
解决新版本kali没有安装owasp-zap的问题
高冷的宅先生
04-02 2827
1.新版本kali没有owasp 在CTF夺旗训练课程中,需要用到该软件,但新版kali并没有内置 经过查询,贴吧有大佬说是因为该软件不更新了,所以被去除了,并给出了解决办法 2.安装owasp apt-get install zaproxy 安装成功 ...
OWASP_ZAP
02-14
OWASP_ZAP-Kali Linux 2020.2 https://www.zaproxy.org/download/ https://github.com/zaproxy/zaproxy/releases/ 在线安装 curl -s https://raw.githubusercontent.com/nu11secur1ty/OWASP_ZAP/master/zap.sh | ...
ZAP_2_8_0_windows.exe
11-29
OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供 API。 OWASP_ZPA 是Kali Web Top 10 之一。
Kali Linux Web Penetration Testing Cookbook
05-16
此外,本书还可能涵盖了一些高级话题,如使用自动化工具(如OWASP ZAP)进行自动化扫描使用Metasploit进行exploit开发,以及如何利用社会工程学来增强渗透测试效果。在每个章节末尾,作者通常会给出防御建议,帮助...
Kali Linux渗透测试(安全牛).txt
04-17
│ 任务079:OWASP_ZAP.mp4 │ 任务080:Burpsuite.mp4 │ 任务081:Burpsuite-intruder.mp4 │ 任务082:Burpsuite-repeater,Sequencer,编码,截断工具.mp4 │ 任务083:ACUNETIX WEB VULNERABILITY SCANNER.mp4 ...
攻击机和靶机的使用说明:kali linux和OWAS详细使用教程.pdf
04-14
攻击机和靶机的使用说明:kali linux和OWAS详细使用教程 网卡的详细配置 ## WEB服务器OWASP靶机 ### 下载地址:https://sourceforge.net/projects/owaspbwa/files/ ### web apps: http://192.168.0.113/ #### phpmyadmin: http://192.168.0.113/phpmyadmin ### username: root password: owaspbwa
B站kali前5章笔记.zip
03-14
Kali Linux内置了许多针对Web应用程序的安全测试工具,如Burp Suite、OWASP ZAP、Nessus等。这一章会介绍这些工具的基本用法,如何利用它们进行漏洞扫描、SQL注入、跨站脚本攻击等常见的Web安全问题检测。 总的来说...
kali使用zap查找敏感文件以及目录
tangyin09的博客
11-24 1306
zap漏洞扫描
Kali使用ZAP爬虫进行网站渗透测
CJ_fei7的博客
11-30 2118
Kali Linux是一个专门用于渗透测试和安全审计的操作系统,而ZAP(Zed Attack Proxy)则是一个开源的网络应用程序渗透测试工具,它可以帮助渗透测试人员发现网站的安全漏洞和弱点。通过使用ZAP,我们可以发现目标网站的安全漏洞和弱点,并帮助网站的管理员或开发人员修复这些漏洞。在进行网站渗透测试时,我们还需要遵守法律和道德规范,确保我们的行为是合法和合理的。此外,ZAP还提供了一些辅助工具和插件,比如Fuzzer和Spider,它们可以帮助我们进一步发现和利用目标网站的安全漏洞。
KaliOWASP的快速安装
真正的大师,永远都怀着一颗学徒的心。
03-06 902
提示:本文提供软件安装是在VMWARE虚拟机上运行,给出的下载链接也是VM版本,即虚拟机运行版本,需要其他版本的朋友可以在官网自行查找。 目录:1.OWASP安装2.Kali的安装 1.OWASP安装 下载地址:OWASP 点击Download 等待五秒后自动跳出下载 3.如图所示 4.等待导入,可能需要几分钟,导入完毕之后就可以正常使用。 2.Kali的安装 1.下载地址:官网链接 打开之后下拉找到图中标记位置 2.打开后按自己需求点击红色字体下载 3.下载解压后,由于我们下载的是V
Kali Linux使用ZAP的爬虫功能
2201_75509440的博客
06-26 950
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描
Kali Linux——OWASP ZAP软件的使用
m0_64666945的博客
06-21 366
大家可以到github上下载最新版本,github的项目地址为:https://github.com/zaproxy/zaproxy/wiki/Downloads,当然也可以到我的网盘中下载:链接:https://pan.baidu.com/s/14nMuvOHfPb_rH9ilA7MojQ 密码:dfte。在环境变量中,点击“新建”按钮,来创建“JAVA_HOME”环境变量,内容为“C:\Program Files\Java\jdk1.8.0_191”(目录根据安装的路径所决定的)。
OWASP_ZAP dvwa
09-14
OWASP ZAP 是一个开源的安全测试工具,用于评估和测试 Web 应用程序的安全性。它提供了许多功能,包括扫描和攻击 Web 应用程序,查找潜在的漏洞和安全问题。 关于 OWASP ZAP 和 DVWA 的关系,DVWA 是一个特别设计的用于安全测试的漏洞Web应用程序。它旨在帮助开发人员和安全专家测试和评估他们的应用程序的安全性。OWASP ZAP 可以与 DVWA 结合使用,以进行安全测试和漏洞扫描。 要使用 OWASP ZAP 和 DVWA 进行安全测试,您可以按照以下步骤进行操作: 1. 首先,下载和安装 Kali Linux 系统,因为 Kali Linux 包含了 OWASP ZAP 和 DVWA 的实验环境。您可以从官方网站 https://www.kali.org/downloads/ 下载 Kali Linux。 2. 接下来,您需要下载和安装 OWASP ZAP。您可以从 OWASP ZAP 的官方网站 https://www.zaproxy.org/download/ 下载适用于您的操作系统的版本。 3. 安装完 OWASP ZAP 后,您可以打开它并导航到 DVWA 的页面。DVWA 的页面可以在 Kali Linux 的应用程序菜单中找到。 4. 在 DVWA 的页面上,您可以进行各种安全测试和漏洞扫描OWASP ZAP 提供了 API,可以用于编程调用 OWASP ZAP 的功能,以定制化您的扫描器。 5. 通过 OWASP ZAP 的 API,您可以编写自己的脚本和程序,以自动化安全测试和漏洞扫描的过程。 总结起来,OWASP ZAP 是一个功能强大的安全测试工具,而 DVWA 是一个用于安全测试的漏洞Web应用程序。您可以使用 OWASP ZAP 和 DVWA 进行安全测试和漏洞扫描,同时还可以通过 OWASP ZAP 的 API 进行定制化编程。这样可以帮助您评估和测试 Web 应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值