渗透测试工具ZAP入门教程(3)-渗透测试扫描流程

已于 2023-09-05 17:26:56 修改
阅读量875 收藏 1
点赞数 1
分类专栏: 安全测试工具和靶场实战 文章标签: 安全测试 渗透测试 ZAP
于 2023-08-27 17:09:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyang_/article/details/132525046
版权

使用ZAP对网站进行渗透测试流程如下:

ZAP启动浏览器

输入URL,点击启动浏览器,在打开的浏览器登录要扫描的网站

在打开的浏览器上进行需要测试的流程操作。

ZAP会记录操作过程中的HTTP请求。

spider爬虫

点击Spider Start按钮,爬取静态地址,防止有遗漏。

使用 ZAP 的 Spider 功能进行扫描时,默认情况下会扫描当前页并自动探测整个网站,并构建一个全面的页面列表。然后,ZAP 将使用这个页面列表来进行更全面的安全扫描。因此,ZAP 的 Spider 扫描将涵盖整个网站的所有页,而不仅仅是当前页。这样可以帮助你发现整个网站中的潜在漏洞。

也可以直接在ZAP界面,选择spider,新建扫描

Ajax Spider

点击Ajax Spider Start按钮,爬取ajax地址,防止有遗漏

主动扫描

方法一:

点击Active Scan Start,开始使用默认配置对前三步记录的地址进行扫描(页面操作有时候不会开始扫描,可以用方法二或三)。

方法二:

在ZAP界面,在需要攻击的网站上右键->攻击->主动扫描。

方法三:

选中主动扫描,新建扫描

主动扫描会比较慢,可以点击查看扫描进度。

ZAP基于这些规则,对页面操作时记录的HTTP请求进行攻击,检查是否存在对应问题。

 

查看警报

导出测试报告

 报告->生成报告,在下方选择站点,点击生成报告。

    

测试-东方不败之鸭梨
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试zap扫描】OWASP ZAP安全扫描
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-12 2593
本文主要记录在OWASP ZAP安装及使用过程中的步骤及遇到的问题。OWASP ZAP安全扫描工具使用较为方便,主要可以用于渗透性测试,类似用抓包工具,在浏览器和服务器之间,可以对信息进行分析和扫描。linux 包下载下来后是ZAP_2.11.1_Linux.tar.gz,拷贝到linux服务器指定目录下,解压后,进入zap_2.11.1文件夹,可以看到有zap.sh脚本;直接修改zap.sh同级目录中的xml文件夹中的config.xml,将replacer的配置手动写入到config.xml中;具体的内
Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。
小司机的奥拓
04-28 1413
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
2401_84715732的博客
05-12 1017
勾选传统爬虫,点击攻击,ZAP会自动攻击填写的网站。ZAP 将继续使用蜘蛛抓取 Web 应用程序,并被动扫描它找到的每个页面。然后,ZAP 将使用活动扫描程序攻击所有发现的页面、功能和参数。
OWASP-ZAP扫描器的使用
墨鱼菜鸡
11-15 366
目录 OWASP-ZAP 更新 代理 目录扫描 主动扫描(Active Scan) 扫描结果 生成报告 OWASP-ZAP OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中...
Web渗透_扫描工具OWASP_ZAP
分享学习网络的点点滴滴
07-18 1553
OWASP_ZAPWEBApplicaiton系统渗透测试和漏洞挖掘工具开源免费跨平台简单易用截断代理主动、被动扫描Fuzzy、暴力破解APIhttp//zap/需要浏览器开启代理。
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了(1)
2401_84715732的博客
05-12 723
勾选传统爬虫,点击攻击,ZAP会自动攻击填写的网站。ZAP 将继续使用蜘蛛抓取 Web 应用程序,并被动扫描它找到的每个页面。然后,ZAP 将使用活动扫描程序攻击所有发现的页面、功能和参数。
OWASP ZAP渗透测试
gaogsf的博客
06-14 418
OWASP ZAP
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
WEB渗透测试入门.rar
03-07
【WEB渗透测试入门】 在网络安全领域,Web渗透测试是一种评估Web应用程序安全性的重要方法。它涉及到模拟恶意黑客的行为,以发现并修复潜在的安全漏洞。对于初学者来说,掌握Web渗透测试的基本概念和技术是至关重要...
WEB渗透——新手入门之初级工具利用
01-16
【描述】:“WEB渗透—优惠券https://www.panpansq.com—新手入门之初级工具利用”这个描述提到了一个在线资源,可能是提供有关WEB渗透教程的网站,它可能提供了一些优惠券或链接,帮助初学者获取相关学习资料。...
ZAP-2.13.0-Crossplatform.zip
09-18
6. **教育与培训**:ZAP提供了丰富的教程和文档,是学习Web安全测试的优秀工具,特别适合初学者入门。 三、安装与使用 下载ZAP 2.13.0的跨平台版本ZAP_2.13.0后,用户可以根据系统类型解压并运行相应的可执行文件...
hack_the_box:渗透测试学习之路
03-12
1. **信息收集**:使用Nmap、ZAP等工具进行端口扫描和漏洞探测,了解目标系统的基本配置和服务。 2. **漏洞利用**:针对识别出的漏洞,使用Metasploit、CVE编号的利用代码或自编的exploit尝试攻击。 3. **权限提升**...
了解owasp zap扫描
贝隆的博客
02-04 808
owasp zap扫描
【网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
最新发布
Zane的博客
06-21 979
漏洞扫描ZAP工具的基础使用
漏洞扫描工具OWASP ZAP安装与使用
m0_71999197的博客
01-28 1363
OWASP ZAP工具安装和使用 简介自用记录
Kali Linux渗透测试 079 扫描工具-OWASP_ZAP
kevinhanser
03-07 5409
>本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 > >[Kali Linux渗透测试(苑房弘)博客记录](http://blog.csdn.net/kevinhanser/article/details/78010013) > >1. OWASP_ZAP 项目简介 >2. 简单使用 >3. 3. API >4. 基本设置 >5.
OWASP ZAP安全扫描基础流程
u010680986的博客
02-28 3739
开始测试之前,需要修改浏览器代理,将浏览器代理地址设置为与zap一致 选择强制浏览,会在输出框可以选择列表,选择默认的directory-list-1.0.txt,点击开始,会自动浏览所有文件,左侧站点可以选择浏览过的地址 主动扫描 策略选择 ...
eLearnSecurity eWPT Notes.pdf
10-06
13. **渗透测试方法论**:一套系统化的流程,包括目标选择、信息收集、漏洞利用和报告编写等环节。 14. **BeeF-XSS**:一种用于创建和分析XSS攻击的交互式工具,便于理解攻击机制。 15. **SQL注入**:攻击者通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值