一、什么是OWASP ZAP
工作原理:跟Burpsuite类似
主要功能:
本地代理、主动扫描、被动扫描、暴力破解、Fuzzy(模糊查询)
二、OWASP ZAP的使用
三、例子
实例1、代理抓包
设置ZAP的代理参数
tool(工具)-》options(选项)-》LocalProxies
设置Firefox(浏览器)代理参数
使用Foxyproxy插件
然后访问靶机的地址(192.168.27.9)
ZAP抓到了一个包
实例2:快速扫描
快速扫描靶机的sqli-labs/Less-1网站
点击相应的报警信息可以查看漏洞信息
实例3:模糊测试
先把浏览器代理关掉
先访问靶机的DVWA网站,设置级别为低,然后到SQL-Injection模块
开启浏览器代理,并输入1
在ZAP会抓到一个包
选中整个报文,然后鼠标右键,选Fuzz
跳到这个界面
先Remove,再选中1那个位置,Add
选择File Fuzzers
选择jbrofuzz中的Injection
然后OK
Start Fuzzer
最后出现这个界面
这样也就实现了sql注入。
这篇文章就写到这里了!