文章目录
前言
zaproxy是世界上很受欢迎的免费安全扫描工具之一,由数百名国际志愿者积极维护。它可以帮助我们在开发和测试应用程序时自动查找 Web 应用程序中的安全漏洞,相比起Rational AppScan来说,zaproxy体积较小,而且免费,比较适合用来学习。在web应用程序中,爬虫或爬行器是一种工具,它可以根据网站中的所有链接自动浏览网站,有时还可以填写和发送表单。这允许获得站点中所有引用页面的完整映射,并记录获取这些页面的请求和响应。ZAP还有一个脚本引擎,可以用来自动化的执行或者创建新的功能。 我将会用ZAP的爬行功能,在脆弱的靶机上爬行一个目录,然后将检查它捕捉到的信息。
一、ZAP的介绍
ZAP页面除常规的菜单栏、工具栏外,陈列出捕获到的站点目录,为选中的某条数据的请求或响应报文(分页显示报文头和报文内容),实时展现捕获的数据流量,展示工具的执行状态以及警告的汇总。
将使用OWASP BWA靶场中的BodgeIt来说明ZAP的爬行功能是如何工作的
二、使用步骤
1.安装zaproxy
kali@kali:~$sudo apt install zaproxy
zaproxy安装完成之后就可以启动zaproxy了。
2.命令行启动
kali@kali:~$zaproxy
3.在菜单栏启动
启动zaproxy之后&#