OWASP ZAP安装与测试DVWA

最新推荐文章于 2023-08-18 17:52:30 发布
最新推荐文章于 2023-08-18 17:52:30 发布
阅读量2.2k 收藏 8
点赞数
分类专栏: 渗透测试工具 安全 笔记 文章标签: 渗透测试工具 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51167520/article/details/114651128
版权
安全 同时被 3 个专栏收录
30 篇文章 0 订阅
订阅专栏
笔记
28 篇文章 0 订阅
订阅专栏
渗透测试工具
10 篇文章 2 订阅
订阅专栏

  • 实验环境:KALI
    OWASP ZAP的下载地址:
    https://www.zaproxy.org/download/
    在这里插入图片描述

  • OWASP ZAP安装:
    它支持 Windows(64)安装程序、 Windows(32)安装程序、
    Linux 安装程序、 MacOS 安装程序等。
    只需要简单的“Setup”即可。
    唯一需要注意的是:
    Windows 和 Linux 版本需要运行 Java 8 或更高版本 JDK,MacOS 安装
    程序包括 Java 8。
    我们使用的事Linux Kali自带的ZAP
    ZAP启动:
    在这里插入图片描述

  • 初次使用ZAP:
    进程保留:
    初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程。
    保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到
    之前扫描过的站点以及测试结果等。
    一般来说,如果对固定的产品做定期扫描,应该保存一个进程做为长期使
    用,选第一或者第二个选项都可以。
    如果只是想先简单尝试ZAP功能,可以选择第三个选项,那么当前进程暂时
    不会被保存。
    在这里插入图片描述
    在这里插入图片描述

  • ZAP更新:
    由于owasp zap 官方不定期的会更新zap插件和zap版本,我们可
    以通过手动更新的方式如下:
    在这里插入图片描述

  • 如果你想更新单个,你可以这样:后面如果出现【更新】
    的字样的话,可以选择后【update selected】更新即可!
    在这里插入图片描述

  • Marketplace为插件市场,是选择性安装的插件。主要
    分为一下3
    类的插件:
    release:为经过长期验证比较成熟的插件
    beta:为正在测试测试中的插件,可能会出现问题
    alpha:比beta更加低的测试版插件
    建议release和beta版的都安装上,alpha版本的可选择性安装!
    在这里插入图片描述

  • 这里连国外的网连不上显示不了更新的:
    本地代理设置:
    owasp zap 默认使用8080端口开启http代理。
    在这里插入图片描述

  • 在浏览器上设置http代理。
    在这里插入图片描述

  • 测试DVWA:
    使用代理变成了https
    在这里插入图片描述

  • 设置截获:
    只需要按下上边这个小红点即可截断流量,进行分析处理。
    在这里插入图片描述

  • 查看截获得内容:
    可以在OWASP_ZAP看到用户、密码。
    在这里插入图片描述

  • 简单攻击:
    在浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。
    由于 OWASP ZAP 截断会话,所以网站处于等待状态。
    在这里插入图片描述

  • 需要手动放行:
    在这里插入图片描述
    在这里插入图片描述

  • 选择该站点进行owsap zap的强制浏览网站、强制浏览目录、
    forced browse directory(and children)。
    在这里插入图片描述

  • owasp zap的强制目录浏览选择使用owasp zap自带的directory-
    list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)。
    在这里插入图片描述

  • 主动扫描:
    在这里插入图片描述

  • 模糊测试:
    暴力破解密码:输上错误的用户名和密码
    在这里插入图片描述

  • 截获的错误信息:
    在这里插入图片描述

  • 暴力破解密码
    在这里插入图片描述

  • 暴力破解密码
    首先编写用户名和密码的文件:
    在这里插入图片描述

  • 选择 POST 的项目,针对性的设置Payload。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • 同方法添加上用户和密码的破解文件:
    在这里插入图片描述

  • 暴力破解密码
    既然对POST请求可以Fuzzer,那么,就可以用来尝试SQL注入漏洞扫描;
    点击OK,就可以在下边一栏看到Fuzzer的过程;
    如何查看Fuzzer结果呢?
    数量少的话,直接肉眼看,数量很大的情况下,我们可以点击字段名,进
    行排序,从而简单地就可以看出结果;
    然而,这两种方式都无法区分的时候,比如302重定向,只能靠自己的经验
    进行判断了(比如ctrl+F来搜索)
    在这里插入图片描述

  • 结果分析:
    测试完成以后,我们就可以拿到ZAP提供的测试结果进行分析。
    ZAP会产出以下一些产物:
    被测站点地图及页面资源
    所有请求、反馈记录
    安全性风险项目列表
    其中我们最关注的当然是安全性风险项,ZAP将做出以下标识:
    由上到下分别为:高、中、低、信息、
    通过
    在这里插入图片描述

  • 在窗口最底部,切换到Alert界面,可以看到所有扫描出的安全性风险:
    在这里插入图片描述

  • 报告输出:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • OWASP ZAP的进阶:
    OWASP_ZAP的API
    可以调用OWASP_ZAP的API来实现定制化编程
    可以试试开发自己的扫描器
    在这里插入图片描述

  • 扫描模式:
    主要有4中扫描模式:安全模式、保护模式、标准模式、攻击模式;
    owasp zap默认用的是标准模式,你可以在【编辑 】- 【ZAP
    Mode】中选择你想要的模式
    如何来选择?
    • 记住,不要随便去扫描别人,否则容易扫崩一些脆弱服务,针对不同情况可采用不同模式。
    在这里插入图片描述

  • 扫描策略:
    有两个地方可以添加扫描策略 (1)【分析】-【扫描策略】,(2)设置按钮。
    扫描策略你可以自己随意设置的!如果不懂就用默认的吧!
    Policy:扫描策略名称,需要填写Default Alert Threshold:告警阈值,
    有low、medium、high,阈值越高,扫描爆出的漏洞数就越少;高阈值只
    爆出确认的高危漏洞。Default Attack Strength:攻击强度,有low、medium、high、insane,强度越高,扫描速度越快Apply xx Threshold to All:把告警阈值给所有扫描插件,点击 go 生效Apply xx Strength to All:把扫描强度应用给所有插件,点击 go 生效
    在这里插入图片描述

  • 扫描时跳过某个插件:
    在【扫描监控】中,点击旁边的蓝色按钮,可跳过该插件的检测!
    在这里插入图片描述

  • OWASP_ZAP的Anti CSRF Token
    有些安全方面做得好的网站会设置CSRF令牌,限制每一次访问,
    都需要有CSRF令牌,这种情况怎么处理呢?只需要在设置中添加
    需要的头名字即可!
    依次菜单栏选择“工具 --> 选项 --> Anti CSRF Token";
    在这里插入图片描述

  • 设置代理后,网站证书不受信任问题:
    zap 进行代理时,浏览器访问 https 的网站,zap 使用自己的证书
    与浏览器建立 SSL 连接,由于 zap 证书不受信任,因此需要把
    zap 的证书手动导出(cer格式的证书),导入到浏览器中即可!
    导出 zap 的证书的方法【设置】-【Dynamic SSL Certificates】;
    在这里插入图片描述
    在这里插入图片描述

  • 在浏览器中导入 zap 的证书。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

HJSM
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【安全测试zap扫描】OWASP ZAP安全扫描
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-12 2604
本文主要记录在OWASP ZAP安装及使用过程中的步骤及遇到的问题。OWASP ZAP安全扫描工具使用较为方便,主要可以用于渗透测试,类似用抓包工具,在浏览器和服务器之间,可以对信息进行分析和扫描。linux 包下载下来后是ZAP_2.11.1_Linux.tar.gz,拷贝到linux服务器指定目录下,解压后,进入zap_2.11.1文件夹,可以看到有zap.sh脚本;直接修改zap.sh同级目录中的xml文件夹中的config.xml,将replacer的配置手动写入到config.xml中;具体的内
Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
小司机的奥拓
04-28 1531
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
OWASP ZAP.zip
08-15
OWASP ZAP,web安全扫描器,
漏洞扫描工具OWASP ZAP的下载、安装、使用教程
qq_37776764的博客
04-26 7988
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(超详细)
安全测试工具OWASP ZAP下载
m0_57098592的博客
06-13 2206
安全测试工具owasp zap下载安装
dvwa_owasp_zap_config
05-25
dvwa_owasp_zap_config
渗透测试环境部署DVWA
10-29
渗透测试过程中,你可以使用各种工具和技术,如Burp Suite、OWASP ZAP、Nmap、Metasploit等,来探测和利用DVWA中的漏洞。通过这种方式,你不仅能学习如何攻击系统,还能理解如何防御和修复这些漏洞。 总之,部署...
DVWA-2.0.1
09-23
4. **渗透测试工具**:使用DVWA可以熟悉Burp Suite、Nessus、OWASP ZAP渗透测试工具,这些工具在实际的安全测试中非常常见。 5. **安全编码实践**:学习如何编写安全的PHP代码,避免使用容易引发安全问题的函数,...
DVWA-master.zip
07-31
在研究这些漏洞时,你将学习到如何利用Burp Suite、Nessus、OWASP ZAP等工具进行渗透测试,以及如何编写和执行payload。同时,了解如何修复这些漏洞对于开发者来说至关重要,以确保他们的应用程序尽可能安全。 总结...
OWASP(web渗透测试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透测试软件)安装包以及操作
ZAP2.10_Windows_x64安装文件
05-27
Zed攻击代理(ZAP)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)维护。ZAP专为测试Web应用程序而设计,并且既灵活又可扩展。 ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查在浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目标位置。它可以用作独立应用程序,也可以用作守护进程。 安装包仅适用Windows 64位系统。
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(KOS)
KeyarchOS的博客
08-18 2047
OWASP Zed Attack Proxy(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。
(转)OWASP ZAP下载、安装、使用(详解)教程
diliu5480的博客
02-11 5332
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经...
OWASP ZAP 暴力破解 DVWA 登录用户名密码
mixboot
03-25 5950
1,系统环境 $ sw_vers ProductName: Mac OS X ProductVersion: 10.13.6 BuildVersion: 17G65 2,ZAP下载地址 ZAP Windows Linux MacOS 下载
app安全测试-OWASP ZAP 2.8 使用指南(一):安全测试基础及ZAP下载、安装
qq_42610167的博客
08-12 2296
概览 本文意在对于OWASP’s Zed Attack Proxy(ZAP)软件做一个基本使用指南介绍。 ZAP是一个用于实施安全性测试的工具,即使没有很强的安全测试背景也可以很好的使用。 为了达到这一目的,本文会包含一些安全测试概念和术语,但是本文并不会就ZAP或安全测试进行过于深入的讨论。 安全测试基础 软件系统安全性测试,是一个评估和测试系统,以发现系统和数据安全性风险和漏洞的过程。 安全性测试并没有统一的方法论,不过我们将这一过程描述为“不以滥用为目的的发现系统的漏洞的行为”。 常见的安全性测试类型
漏洞扫描工具OWASP ZAP安装与使用
m0_71999197的博客
01-28 1377
OWASP ZAP工具安装和使用 简介自用记录
5 | OWASP ZAP使用
u013916029的博客
11-05 269
OWASP ZAP
owasp zap安装
07-28
OWASP ZAP是一款免费开源的web应用程序渗透测试和漏洞工具,它是OWASP的旗舰项目之一。你可以从官方网站https://www.zaproxy.org/download/下载OWASP ZAP安装OWASP ZAP的步骤如下: 1. 访问OWASP ZAP的官方网站https://www.zaproxy.org/download/。 2. 在下载页面上,选择适合你操作系统的版本进行下载。 3. 下载完成后,根据操作系统的不同,执行相应的安装步骤。 4. 安装完成后,你可以启动OWASP ZAP。 5. 在OWASP ZAP的界面上,你可以通过点击"快速开始",然后选择"Automated Scan"来进行自动扫描。 6. 在自动扫描中,你需要输入要攻击的完整URL,并可以选择勾选spider来进行Web页面的扫描。 7. 对于AJAX应用程序,你可以使用AJAX spider来进行扫描。 8. 点击"攻击"按钮开始扫描。 通过以上步骤,你就可以成功安装和使用OWASP ZAP进行web应用程序的渗透测试和漏洞扫描了。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [Web安全—Web漏扫工具OWASP ZAP安装与使用](https://blog.csdn.net/Zhou_ZiZi/article/details/126529888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [漏洞扫描工具OWASP ZAP的下载、安装、使用教程](https://blog.csdn.net/qq_37776764/article/details/130376552)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值