kali中web工具——OWASP-ZAP

最新推荐文章于 2024-07-27 09:56:32 发布
最新推荐文章于 2024-07-27 09:56:32 发布
阅读量3.6k 收藏 27
点赞数 4
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46709219/article/details/109269421
版权

一)OWASP-ZAP是kali自带的工具:
在这里插入图片描述
二)设置代理:
双击打开zap工具——选择“自定义路径并保存”(第二项)
在这里插入图片描述
选择保存路径时,在root下新建一个目录“dvwa”,进入此目录新建会话“dvwa”
在这里插入图片描述
此时在zap中就自动开启了代理,所使用的的默认8080端口也开启了:
在这里插入图片描述
此时打开浏览器设置代理:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
浏览器中设置代理:
在这里插入图片描述
确定好攻击的URL并点击attack:
在这里插入图片描述
此时ovasp-zap会自动开始,它会先进行 spider爬取目标站点所有页面,接着active scan开始对所爬取到的页面进行扫描,最后所得到的结果会在alerts显示,我们打开扫描到的SQL注入漏洞就会有对应的信息和此存在漏洞的url(具体网页),如下图:
在这里插入图片描述
接着对我们 ovas-zap 扫描到的SQL注入漏洞用sqlmap进行漏洞利用:回到ovas-zap,找到刚刚扫描到的SQL注入漏洞,将url复制出来,右键选择copy:
在这里插入图片描述
之后带来浏览器,将copy的url粘贴到地址栏,如图:
在这里插入图片描述
此时会报错,因为多了一个 ’ (把’ 去掉改为一个具体id值),此时因为检测出的结果显示所有此网站下的id好均有SQL,此时输入不同的id都有SQL,只是id值不同而已,然后我们将这个含具体id值的URL复制到 sqlmap 中,即输入命令:sqlmap -u "存在SQL漏洞的IP",如下图:
在这里插入图片描述

三)owasp zap的证书:

owasp zap 进行代理时,浏览器访问https的网站,owasp zap使用自己的证书与浏览器建立ssl连接,由于owasp zap证书不受信任,因此需要把owasp zap的证书手动导出(cer格式的证书),导入到浏览器中。

点击Tools->Options->Dynamic SSL Certificates——save保存到本地
在这里插入图片描述

接着打开firefox浏览器,导入证书:首选项——隐私与安全——查看证书
在这里插入图片描述
在这里插入图片描述
点击 “导入”——找到刚才保存的ZAP证书的位置将它导入——选择“信任由此证书颁发的的机构的网站”:
在这里插入图片描述
在“证书机构”中查看验证,,如果有对应的证书就表示导入成功:
在这里插入图片描述

A&&K
关注
专栏目录
漏洞扫描工具owasp-zap安装及使用
afei001
02-11 3398
       在以前的kali版本是集成了owasp-zap工具的。但是在kali-linux-2019-W37-amd64.iso镜像工具不存在了。 1. kali安装owasp-zap        使用最便捷的安装方式,添加软件源安装 # 将owasp-zap源写入到kali的安装源 sh -c "echo 'deb http://download.opensuse.org/repo...
Kali Linux——OWASP ZAP软件的使用
m0_64666945的博客
06-21 398
大家可以到github上下载最新版本,github的项目地址为:https://github.com/zaproxy/zaproxy/wiki/Downloads,当然也可以到我的网盘下载:链接:https://pan.baidu.com/s/14nMuvOHfPb_rH9ilA7MojQ 密码:dfte。在环境变量,点击“新建”按钮,来创建“JAVA_HOME”环境变量,内容为“C:\Program Files\Java\jdk1.8.0_191”(目录根据安装的路径所决定的)。
OWASP ZAP:一款功能强大的开源Web安全扫描工具
最新发布
Coder加油站的专栏
07-27 1839
OWASP ZAP是一个功能强大的Web应用程序安全扫描工具,适用于各种开发、测试和生产环境。通过自动扫描、手动测试、被动扫描和主动扫描等多种功能,ZAP能够帮助用户全面评估Web应用程序的安全性。此外,ZAP还提供了强大的API、插件和扩展功能,可以与CI/CD流水线集成,自动化地进行安全测试
OWASP ZAP安装kali
weixin_61060664的博客
03-21 540
OWASP ZAP kali 安装
Kali OWASP_ZAP
nethm的专栏
06-21 3060
0x00 OWASP_ZAPZend attack proxy 是一款 web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供 API。OWASP_ZPA 是Kali Web Top 10 之一。0x01 截断代理首次启动 OWASP_ZAP 会提示是否将 session 进行保存,以及如何保存...
OWASP ZAP基本使用教程(Kali版)
weixin_43817670的博客
06-08 9035
简介 OWASP ZAP是一款非常好用的测试工具,也是Kali里自带的工具,一键就可以扫描多种不同类型的漏洞,最好用的一点就是他可以自动爬取子域名。非常的快捷方便下面我就给大家带来OWASP ZAP的基本使用方法Let’s go。 设置网络代理 使用ZAP之前我们要先设置一下网络代理,我们打开浏览器(本人用的是Kali自带的火狐浏览器),选择Preferences 之后我们找到Network Settings 点击 Setting进行网络代理的设置 点开之后我们设置我们的网络代理,由于zap默认的端口为
新版本kali linux 没有OWASP ZAP工具
第二个大脑的
12-20 5877
1、运行 apt-get update 命令。这会下载可用于安装的包(应用和工具)的更新列表。 root@kali:~# apt-get update 2、一旦安装完成,执行下列命令来将非系统的包更新到最新的稳定版。 root@kali:~# apt-get upgrade 3、 运行下载命令下载root@kali:~# apt-get install zaproxy ...
Kali安装OWASP
weixin_48876267的博客
10-22 3573
我是2019版的kali,里面并没有自带OWASP工具,因为OWASP不再更新的因素,所以新版kali将它移除了 安装OWASP apt-get install zaproxy #以下都是安装软件时遇到的问题 kali配置为NAT,kali配置为dhcp自动分配 ping www.baidu.com //ping不通百度,DNS设置问题,修改DNS配置文件 配置DNS文件 vim /etc/resolv.conf # Generated by NetworkManager search
渗透测试Web扫描器——OWASP_ZAP
hackzkaq的博客
10-14 4336
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 OWASP ZAP 一、简介 OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程,自动发现 Web应用程序的安全漏洞。 另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。 二、优缺点 1.优点 免费的web application 扫描器 更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器 2.缺点 现阶段ZAP
kali linux安装owasp-zap
08-15
如果你正在使用Kali Linux的GNOME桌面环境,你也可以在"应用程序"菜单找到OWASP ZAP并启动它。 现在你已经成功安装了OWASP ZAP,可以开始使用它进行Web应用程序安全测试和漏洞扫描。希望这对你有帮助!如果你...
OWASP-ZAP扫描器的使用
墨痕诉清风的博客
05-11 8035
OWASP-ZAP OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序的安全漏洞。 也可以说ZAP是一个间人代理。它能够获取你对Web应用程序发出的所有请求以及你从收到的所有响应。 它即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用...
OWASP_ZAP
02-14
OWASP_ZAP-Kali Linux 2020.2 https://www.zaproxy.org/download/ https://github.com/zaproxy/zaproxy/releases/ 在线安装 curl -s https://raw.githubusercontent.com/nu11secur1ty/OWASP_ZAP/master/zap.sh | bash 模糊[ ]
KaliWeb渗透-扫描工具-Burpsuite
热门推荐
追风筝的孩子
08-04 1万+
        在学习Burpsuit之前,我先说一下什么是代理,就是代理网络用户去取得网络信息,作为一个在浏览器和目标应用程序之间的间人,允许你拦截,查看,修改在两个方向上的原始数据流。形象地说:它是网络信息的转站。一般情况下,我们使用浏览器直接去连接其他internet 站点取得网络信息时,必须送出请求信号来得到回答,然后对方再把信息以字节方式传送回来。代理服务器是介于浏览器和web 服务...
kali工具详细说明----------Web应用程序
墨痕诉清风的博客
12-03 333
Web Applications(Web 应用程序) 工具名称 工具说明 命令行/界面 开源 /付费 编写语言 平台支持 源码链接 备注 apache-users 枚举系统上apache的用户名,支持远程方式 命令行 不开源 未知 kaili 安装地址(git clone) git://git.kali....
kali linux web渗透测试常用工具
dqpiytu的专栏
03-28 536
常使用的工具有如下10种: nmap,metasploit,john the ripper,thc hydra,owasp zed,wireshark,Aircrack-Ng,Maltego,Cain和Abel Hacking Tool,Nikto网站漏洞扫描器。 1.Aircrack-NG Linux网络渗透如何使用Aircrack-ng系列工具进行WPA / WPA2的监听和破解,这篇文...
解决新版本kali没有安装owasp-zap的问题
高冷的宅先生
04-02 2859
1.新版本kali没有owasp 在CTF夺旗训练课程,需要用到该软件,但新版kali并没有内置 经过查询,贴吧有大佬说是因为该软件不更新了,所以被去除了,并给出了解决办法 2.安装owasp apt-get install zaproxy 安装成功 ...
Kali Linux使用ZAP的爬虫功能
abghanhan的博客
05-31 1511
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
KaliOWASP的快速安装
真正的大师,永远都怀着一颗学徒的心。
03-06 924
提示:本文提供软件安装是在VMWARE虚拟机上运行,给出的下载链接也是VM版本,即虚拟机运行版本,需要其他版本的朋友可以在官网自行查找。 目录:1.OWASP安装2.Kali的安装 1.OWASP安装 下载地址:OWASP 点击Download 等待五秒后自动跳出下载 3.如图所示 4.等待导入,可能需要几分钟,导入完毕之后就可以正常使用。 2.Kali的安装 1.下载地址:官网链接 打开之后下拉找到图标记位置 2.打开后按自己需求点击红色字体下载 3.下载解压后,由于我们下载的是V
网络安全 OWASPkali部署
weixin_46406282的博客
07-07 590
1下载OWASP靶机,并解压 https://sourceforge.net/projects/owaspbwa/files/ 2kali下载,并解压 https://blog.csdn.net/soda_199/article/details/95941860 3虚拟机扫描镜像(扫描路径为解压OWASP路径),点击完成即可 4登陆靶机 5反问靶机 6连接kali 账号root 密码toor 7设置代理(一直点下一步) kali连接靶机(操作和靶机操作一样)若点不进去先把代理关了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值