OWASP_ZAP
-
Zed attack proxy
-
WEB Applicaiton系统渗透测试和漏洞挖掘工具
-
开源免费跨平台简单易用
-
截断代理
-
主动、被动扫描
-
Fuzzy、暴力破解
-
API
-
http://zap/ 需要浏览器开启代理
安装
- OWASP ZAP – 下载 (zaproxy.org)
- https://www.zaproxy.org/download/
- 之后再kali直接运行,然后选择语言
- 然后点击下一步
- 然后直接运行就能打开
- 启动之后,会自动开启代理
- 在浏览器上设置代理之后,浏览器访问都经过OWASP_WAP
- 如果你在dvwa上输入账号用户名也会被抓下来
- 点击警报会看到很多的问题
- 当然也可以主动扫描,点击快速开始,把URL粘贴上,点击攻击就行了
- ZAP也提供了API,在浏览器开启代理的情况下,访问http://zap/
- ZAP有四种扫描方式
zap的扫描策略
- 默认的情况下只有一个默认策略
- 添加扫描策略在这个地方
- 之后可以添加策略
- 然后你可以根据你的需求去修改策略
- 之后保存即可
- 扫描https,建议将zap的证书导入至浏览器中
导入即可
- 该工具还有其他很多好用的功能,自行去探索!