了解owasp zap扫描器
owasp zap是一款开源的web安全工具,它简单易用,与burp suite相似,主要功能包含了:代理、数据拦截修改、主动扫描、被动扫描、主动攻击、爬虫、fuzzing、绳头测实等。在国外安全圈和渗透测实领域应用非常广泛。
一、使用owasp zap扫描器扫描网站
1.owasp zap扫描器的使用要开启浏览器代理。打开Firefox浏览器,在地址栏输入http://192.168.1.3/,回车访问网站,然后单击“选项”。如图1所示
图1
1.2切换到“高级”选项卡,单击“网络”->单击“设置”。在代理服务器下,勾选“手动配置代理”,地址设置为127.0.0.1,端口为8080,单击“确定”,如图2所示
图2
1.3双击打开owasp zap扫描器,弹出提示,选择第一个选项“Yes,I want to……”,单击“Start”。如图4所示
图3
1.4之后可能还有一些提示,单击“取消”、“否”,或者直接单击关闭即可。
1.5刷新一下网页就会看到zap开始抓取网页了。如图5所示
图4
1.6右键选择要扫描的网站,选择“攻击”–>“爬行”。如图6所示
图5
1.7设置默认,直接单击“Start Scan”开始扫描。如图7所示
图6
1.8在软件的界面下方显示了扫描信息,包括扫描进度及扫描结果。如图8所示
图7