-
实验环境:KALI
OWASP ZAP的下载地址:
https://www.zaproxy.org/download/
-
OWASP ZAP安装:
它支持 Windows(64)安装程序、 Windows(32)安装程序、
Linux 安装程序、 MacOS 安装程序等。
只需要简单的“Setup”即可。
唯一需要注意的是:
Windows 和 Linux 版本需要运行 Java 8 或更高版本 JDK,MacOS 安装
程序包括 Java 8。
我们使用的事Linux Kali自带的ZAP
ZAP启动:
-
初次使用ZAP:
进程保留:
初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程。
保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到
之前扫描过的站点以及测试结果等。
一般来说,如果对固定的产品做定期扫描,应该保存一个进程做为长期使
用,选第一或者第二个选项都可以。
如果只是想先简单尝试ZAP功能,可以选择第三个选项,那么当前进程暂时
不会被保存。
-
ZAP更新:
由于owasp zap 官方不定期的会更新zap插件和zap版本,我们可
以通过手动更新的方式如下:
-
如果你想更新单个,你可以这样:后面如果出现【更新】
的字样的话,可以选择后【update selected】更新即可!
-
Marketplace为插件市场,是选择性安装的插件。主要
分为一下3
类的插件:
release:为经过长期验证比较成熟的插件
beta:为正在测试测试中的插件,可能会出现问题
alpha:比beta更加低的测试版插件
建议release和beta版的都安装上,alpha版本的可选择性安装!
-
这里连国外的网连不上显示不了更新的:
本地代理设置:
owasp zap 默认使用8080端口开启http代理。
-
在浏览器上设置http代理。
-
测试DVWA:
使用代理变成了https
-
设置截获:
只需要按下上边这个小红点即可截断流量,进行分析处理。
-
查看截获得内容:
可以在OWASP_ZAP看到用户、密码。
-
简单攻击:
在浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。
由于 OWASP ZAP 截断会话,所以网站处于等待状态。
-
需要手动放行:
-
选择该站点进行owsap zap的强制浏览网站、强制浏览目录、
forced browse directory(and children)。
-
owasp zap的强制目录浏览选择使用owasp zap自带的directory-
list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)。
-
主动扫描:
-
模糊测试:
暴力破解密码:输上错误的用户名和密码
-
截获的错误信息:
-
暴力破解密码
-
暴力破解密码
首先编写用户名和密码的文件:
-
选择 POST 的项目,针对性的设置Payload。
-
同方法添加上用户和密码的破解文件:
-
暴力破解密码
既然对POST请求可以Fuzzer,那么,就可以用来尝试SQL注入漏洞扫描;
点击OK,就可以在下边一栏看到Fuzzer的过程;
如何查看Fuzzer结果呢?
数量少的话,直接肉眼看,数量很大的情况下,我们可以点击字段名,进
行排序,从而简单地就可以看出结果;
然而,这两种方式都无法区分的时候,比如302重定向,只能靠自己的经验
进行判断了(比如ctrl+F来搜索)
-
结果分析:
测试完成以后,我们就可以拿到ZAP提供的测试结果进行分析。
ZAP会产出以下一些产物:
被测站点地图及页面资源
所有请求、反馈记录
安全性风险项目列表
其中我们最关注的当然是安全性风险项,ZAP将做出以下标识:
由上到下分别为:高、中、低、信息、
通过
-
在窗口最底部,切换到Alert界面,可以看到所有扫描出的安全性风险:
-
报告输出:
-
OWASP ZAP的进阶:
OWASP_ZAP的API
可以调用OWASP_ZAP的API来实现定制化编程
可以试试开发自己的扫描器
-
扫描模式:
主要有4中扫描模式:安全模式、保护模式、标准模式、攻击模式;
owasp zap默认用的是标准模式,你可以在【编辑 】- 【ZAP
Mode】中选择你想要的模式
如何来选择?
• 记住,不要随便去扫描别人,否则容易扫崩一些脆弱服务,针对不同情况可采用不同模式。
-
扫描策略:
有两个地方可以添加扫描策略 (1)【分析】-【扫描策略】,(2)设置按钮。
扫描策略你可以自己随意设置的!如果不懂就用默认的吧!
Policy:扫描策略名称,需要填写Default Alert Threshold:告警阈值,
有low、medium、high,阈值越高,扫描爆出的漏洞数就越少;高阈值只
爆出确认的高危漏洞。Default Attack Strength:攻击强度,有low、medium、high、insane,强度越高,扫描速度越快Apply xx Threshold to All:把告警阈值给所有扫描插件,点击 go 生效Apply xx Strength to All:把扫描强度应用给所有插件,点击 go 生效
-
扫描时跳过某个插件:
在【扫描监控】中,点击旁边的蓝色按钮,可跳过该插件的检测!
-
OWASP_ZAP的Anti CSRF Token
有些安全方面做得好的网站会设置CSRF令牌,限制每一次访问,
都需要有CSRF令牌,这种情况怎么处理呢?只需要在设置中添加
需要的头名字即可!
依次菜单栏选择“工具 --> 选项 --> Anti CSRF Token";
-
设置代理后,网站证书不受信任问题:
zap 进行代理时,浏览器访问 https 的网站,zap 使用自己的证书
与浏览器建立 SSL 连接,由于 zap 证书不受信任,因此需要把
zap 的证书手动导出(cer格式的证书),导入到浏览器中即可!
导出 zap 的证书的方法【设置】-【Dynamic SSL Certificates】;
-
在浏览器中导入 zap 的证书。
OWASP ZAP安装与测试DVWA
最新推荐文章于 2023-08-18 17:52:30 发布