利用Owasp Zap Proxy实现正对Web站点的扫描和漏洞发现功能

最新推荐文章于 2024-07-27 09:56:32 发布
最新推荐文章于 2024-07-27 09:56:32 发布
阅读量3.8k 收藏 2
点赞数
分类专栏: 安全渗透 文章标签: 漏洞扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43375146/article/details/83303297
版权

Owasp的功能与之前提过的Burp Pro Proxy相类,都具有流量代理、fuzz请求、抓取网页和自动扫描等功能,不同的是Owasp提供了更加简洁的操作界面,Burp Pro Proxy支持Burp扩展能够具有更强大的定制处理能力。
同metasploitable一样,Owasp Zap Proxy提供了一个存在漏洞的渗透测试演练工具OWASPBWA,我们可以通过这个虚拟机练习使用Owasp Zap Proxy。

首先我们需要去下载一个OWASPBWA,安装以后。输入默认的登录名和密码,需要指出的是这里的默认密码不再是metasploitable的msfadmin,password也不是网上其他人说的admin或是password,正确的登录名是root,密码密码是owaspbwa。
在这里插入图片描述

同时我们可以看到在本台虚拟机中IP地址是192.168.118.133.

接下来就将在Owasp Zap Proxy控制台对靶机进行扫描测试。

工作状态

扫描完成时状态如下:
结果

我们就发现了许多漏洞。

这些漏洞往往有些是Burp Pro Proxy未发现的。

Brisbane)
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试Web扫描器——OWASP_ZAP
hackzkaq的博客
10-14 4236
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 OWASP ZAP 一、简介 OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。 另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。 二、优缺点 1.优点 免费的web application 扫描器 更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器 2.缺点 现阶段ZAP的中
漏洞扫描工具OWASP ZAP 2.13.0下载
12-22
ZAPOWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。 ZAP主要覆盖了安全性测试里渗透测试即对系统进行模拟攻击和分析来确定其安全性漏洞ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。 同时,ZAP适用于所有的操作系统和Docker的版本,而且简单易用,还拥有强大的社区,能够在互联网上找到多种额外的功能插件。
【网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
Zane的博客
06-21 1055
漏洞扫描ZAP工具的基础使用
OWASP ZAP:一款功能强大的开源Web安全扫描工具
最新发布
Coder加油站的专栏
07-27 626
OWASP ZAP是一个功能强大的Web应用程序安全扫描工具,适用于各种开发、测试和生产环境。通过自动扫描、手动测试、被动扫描和主动扫描等多种功能ZAP能够帮助用户全面评估Web应用程序的安全性。此外,ZAP还提供了强大的API、插件和扩展功能,可以与CI/CD流水线集成,自动化地进行安全测试
OWASP ZAP安全扫描工具,扫描网站
keyboard专栏
07-04 336
通过上述步骤,你可以使用 OWASP ZAP 进行 web 应用程序的安全扫描发现并修复潜在的安全漏洞ZAP 提供了丰富的功能,包括手动探索、自动扫描、爬虫和命令行模式,适合各种安全测试需求。如果你有任何进一步的问题或需要更详细的说明,请告诉我。
漏洞扫描工具OWASP ZAP的下载、安装、使用教程
qq_37776764的博客
04-26 7938
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(超详细)
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(KOS)
KeyarchOS的博客
08-18 2019
OWASP Zed Attack ProxyZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。
Web渗透_扫描工具OWASP_ZAP
分享学习网络的点点滴滴
07-18 1554
OWASP_ZAPWEBApplicaiton系统渗透测试和漏洞挖掘工具开源免费跨平台简单易用截断代理主动、被动扫描Fuzzy、暴力破解APIhttp//zap/需要浏览器开启代理。
利用OWASP ZAP寻找敏感文件和目录
Z_3679的博客
05-31 243
ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。打开ZAP它会后会询问是否要保存进程,以及如何保存,这里我选择第二项指定保存名称和位置,如果只是简单的学习zap的话可以选择第三项,那么当前的进程就不会被保存。
OWASP ZAP
2301_76786857的博客
07-11 963
OWASP ZAP 是一款功能强大且易于使用的 Web 应用安全测试工具,通过自动化扫描和手动测试相结合,帮助用户发现并修复 Web 应用中的安全漏洞。本文详细介绍了 ZAP 的安装步骤、代理配置、自动化扫描和手动测试的基本操作,希望能帮助用户快速掌握该工具的使用方法。 在实际操作中,ZAP 可以帮助开发者和安全专业人员提高 Web 应用的安全性,保护用户数据免受攻击。
OWASP ZAP.zip
08-15
OWASP ZAP(Zed Attack Proxy)是一款广泛使用的开源Web应用程序安全扫描器,它由OWASP(Open Web Application Security Project)组织维护。OWASP是一个全球性的非营利组织,致力于提高软件的安全性,其核心目标是...
owasp-dashboard:使用OWASP Zap扫描您的网址
03-14
OWASP Zap(Zed Attack Proxy)是其中的一款强大且功能丰富的自动化安全测试工具,用于检测Web应用程序的安全漏洞。 在标题“owasp-dashboard:使用OWASP Zap扫描您的网址”中,"owasp-dashboard"是指OWASP Zap的...
OWASP ZAP 2.7.0 版本
09-27
OWASP Zed Attack ProxyZAP)工具是...ZAP可以帮助安全测试人员在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
OWASP ZAP 安全扫描工具
06-26
OWASP ZAP(Zed Attack Proxy)是一款广泛使用的开源安全扫描工具,专为Web应用程序的安全测试而设计。它由Open Web Application Security Project (OWASP) 维护,旨在帮助开发者、安全人员以及自动化脚本发现并减少...
Web安全—Web漏扫工具OWASP ZAP安装与使用
PP_zi的博客
08-27 5227
本文仅用于安全学习使用!切勿非法用途。 一、OWASP ZAP简介 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。 ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过.
利用spiderFoot收集开源情报
Brisbane的博客
10-23 5129
由于在上一次下载了spiderfoot之后一直没有能安装成功,今天我准备铆足了劲重新试一试。 首先依然是进入安装目录 cd opt/spiderfoot/spiderfoot 使用Python启用程序 ./spiderfoot 可以预见的出现了问题如下: Critical Start-up Failure: No module named cherrypy ==================...
在安装和初步使用Nexpose中遇到的问题和解决方案
Brisbane的博客
10-16 4779
低配置电脑利用虚拟机安装Nexpose软件 Nexpose是Rapid7公司开发的一款强大的漏洞扫描工具,相比于Tenable Nessus 来说,前者在面对大型复杂网络的时候表现更佳,但是价格也更昂贵。作为漏洞扫描的初学者,Nexpose提供了更为直观的图形化操作界面,因此适合作为新手练习使用。 由于Nexpose是一款商业收费软件,所以一开始我选择了community版本安装使用。由于官方宣传...
Git clone 无法获取远程文件的问题
Brisbane的博客
10-12 4173
Git clone 无法获取远程文件的问题 今天在安装工具的渗透工具的时候出现了一个问题: $ sudo git clone https://github.com/robertdavidgraham/masscan.git/opt/masscan Cloning into 'masscan'... remote: Not Found fatal: repository 'https://git...
owasp zap使用
06-01
OWASP ZAP(Zed Attack Proxy)是一款常用的免费开源网络应用程序安全测试工具,可以被用于发现利用Web应用程序的安全漏洞。以下是使用OWASP ZAP的简单步骤: 1. 下载并安装OWASP ZAP。 2. 启动OWASP ZAP并在代理菜单中选择“启动代理”。 3. 配置浏览器使用OWASP ZAP作为代理服务器。在浏览器中输入“about:preferences#advanced”并在“网络”选项卡中选择“设置”按钮。在代理服务器选项中选择“手动代理配置”并输入ZAP代理服务器的IP地址和端口号。 4. 浏览到要测试的Web应用程序并开始浏览。OWASP ZAP将记录所有的HTTP请求和响应。 5. 在OWASP ZAP中选择“自动扫描”并选择要扫描的目标应用程序。OWASP ZAP将自动扫描应用程序,并在扫描完成后生成一个报告。 6. 手动测试:在OWASP ZAP中选择“手动探测”并选择要测试的目标应用程序。使用OWASP ZAP的工具手动测试应用程序,例如:拦截器、爬虫、代理等。 这只是OWASP ZAP的基本使用,该工具还提供了更多高级功能,例如:自定义脚本、插件等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值