使用ZAP的爬虫功能的总结

已于 2023-05-27 18:00:04 修改
阅读量823 收藏 3
点赞数 1
文章标签: 爬虫 firefox 前端
于 2023-05-26 23:22:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71139244/article/details/130895252
版权

文章目录

前言

zaproxy是世界上很受欢迎的免费安全扫描工具之一,由数百名国际志愿者积极维护。它可以帮助我们在开发和测试应用程序时自动查找 Web 应用程序中的安全漏洞,相比起Rational AppScan来说,zaproxy体积较小,而且免费,比较适合用来学习。在web应用程序中,爬虫或爬行器是一种工具,它可以根据网站中的所有链接自动浏览网站,有时还可以填写和发送表单。这允许获得站点中所有引用页面的完整映射,并记录获取这些页面的请求和响应。ZAP还有一个脚本引擎,可以用来自动化的执行或者创建新的功能。 我将会用ZAP的爬行功能,在脆弱的靶机上爬行一个目录,然后将检查它捕捉到的信息。

一、ZAP的介绍

ZAP页面除常规的菜单栏、工具栏外,陈列出捕获到的站点目录,为选中的某条数据的请求或响应报文(分页显示报文头和报文内容),实时展现捕获的数据流量,展示工具的执行状态以及警告的汇总。

将使用OWASP BWA靶场中的BodgeIt来说明ZAP的爬行功能是如何工作的

二、使用步骤

1.安装zaproxy

kali@kali:~$sudo apt install zaproxy

zaproxy安装完成之后就可以启动zaproxy了。

2.命令行启动

kali@kali:~$zaproxy

3.在菜单栏启动

启动zaproxy之后&#

最低0.47元/天 解锁文章
@WFT
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
漏洞扫描技术
weixin_71416901的博客
06-08 650
1.漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。是渗透测试的一个步骤.2.漏洞分类与分级权威平台国家信息安全漏洞库(CNNVD)国家信息安全漏洞共享平台(CNVD)国家工业信息安全漏洞库(CICSVD)CVE。
使用ZAP爬虫功能
m0_71423081的博客
05-30 783
ZAP爬虫功能使用步骤
攻击篇--网络扫描(三)漏洞扫描
qq_40424448的博客
04-21 4231
CVE 如果将每个人写的漏洞模块集中在一起,可以提高工作的效率。在这种情况下,出现了一个可以为大家所接受的漏洞行业标准,通用漏洞披露(CVE)是一本字典,为广泛认同的信息安全漏洞或者已经暴露出来的弱点起了一个公共的名称,在CVE的官方界面上,可以查看到这个名称。国内比较知名的seebug漏洞信息库就是用了CVE标准。 操作系统漏洞扫描 NMAP nmap中带有NSE功能,允许nmap的用户通过脚本实现自定义功能,现在正式的NSE已经包括了超过14个大类的脚本,总数超过500个。这些脚本由各个使用者编
【网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
最新发布
Zane的博客
06-21 1096
漏洞扫描:ZAP工具的基础使用
在kali中使用zap查找敏感文件以及目录
tangyin09的博客
11-24 1333
zap漏洞扫描
漏洞扫描工具OWASP ZAP的下载、安装、使用教程(KOS)
KeyarchOS的博客
08-18 2057
OWASP Zed Attack ProxyZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。
序列化功能演示.zap15
07-03
博客序列化功能演示程序。具体请参看博客:西门子博客功能指令(序列化)
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
西门子指令定时器功能指令.zap15
06-13
请参考博客《西门子博图指令》定时器部分
西门子博图功能指令数据移动.zap15
07-07
西门子博图功能指令介绍,关于数据移动。程序介绍可以参考对应的博客
zaproxy-automation:这是ZAProxy自动化工具和脚本的集合,用于自动化WEB应用程序和WEB站点的安全测试
02-06
ZAProxy自动化安全测试集合 该存储库包含用于自动化ZAP安全测试的脚本的集合。 入门 首先,只需克隆此存储库,然后浏览每个子目录以获取有关如何使用每个自动化工具的详细信息。 项目根目录上的工具可直接使用。 您可以将此仓库与Vagrant Kali-Linux基础箱结合使用,在这里可以找到: : 拥有一个完全自动化的构建环境并部署您的测试VM。 先决条件 显然,您需要git来克隆此存储库。 您可以从获得git 脚本主要是Python脚本,因此您需要安装Python解释器并能够正常工作。 您需要安装ZAProxy,您可以在这里找到最新版本: : 您需要安装Java VM。
zaproxy-website:OWASP ZAP网站的来源
04-09
ZAP网站 发展 要在网站上工作,您需要安装node.js或Docker。 在您的开发环境中, npm run preview将在端口3000上启动一个webpack-dev-server进行开发,它将在检测到文件更改时热重载该站点。 码头工人 建议的开发设置是使用Docker。 # Build image docker build -t zaproxy-website . # Start container with image of zaproxy-website docker run -it -v " $( pwd ) /site:/app/site " \ -v " $( pwd ) /src:/app/src " -p 3000:3000 zaproxy-website npm run preview 依存关系 对于开发而言,该站点在很大程度上依赖于node.js来构建
西门子博图功能指令数据填充.zap15
07-07
介绍博图数据填充功能指令的程序,查看程序时请参考博客对应的说明文章
owasp zaproxy配置用法深坑(burp)
weixin_42305753的博客
04-25 931
zaproxy配置代理,先要把证书导入。在firefox里一定要在导入证书后添加信任,这是第一个坑 firefox配置http代理然后一定要勾选下面的为所有协议配置相同的代理,这是第二个坑。因为zaproxy会强制对所有流量https。 ...
利用Owasp Zap Proxy实现正对Web站点的扫描和漏洞发现功能
Brisbane的博客
10-23 3811
Owasp的功能与之前提过的Burp Pro Proxy相类,都具有流量代理、fuzz请求、抓取网页和自动扫描等功能,不同的是Owasp提供了更加简洁的操作界面,Burp Pro Proxy支持Burp扩展能够具有更强大的定制处理能力。 同metasploitable一样,Owasp Zap Proxy提供了一个存在漏洞的渗透测试演练工具OWASPBWA,我们可以通过这个虚拟机练习使用Owasp ...
Kali(Docker)之 BodgeIt 靶场实战
single_g_l的博客
01-06 4273
目录 一、进入BodgeIt 主页面 1、启动BodgeIt 靶场 2、查看dockerfile文件,根据提示执行命令 3、访问http://127.0.0.1:8080/bodgeit 进入bodgelt 页面 二、BodgeIt实战----- 1、利用注入漏洞万能密码登录账号 2、XSS漏洞(反射型XSS和存储型XSS) 3、越权漏洞 4、CSRF漏洞 一、进入BodgeIt 主页面 1、启动BodgeIt 靶场 cd vulstudy/BodgeIt 2、查看..
使用ZAP代理查看和修改请求
qwer_gm的博客
05-31 180
在Break(中断)选项卡中,看到浏览器在刷新页面时发出的请求。在本小节中,使用ZAP代理拦截了一个有效的请求并修改了ua标头,验证了服务器已经接受提供的值。ZAP起到一个中间人的作用,可以任意修改浏览器提供给服务端的请求。在这本节中,将使用OWASP_ZAP作为web代理,拦截请求,并在更改一些值后发送到服务器。回到ZAP,在Request(请求)和Response(响应)选项卡旁边将出现一个新的Break(中断)选项卡。:如果每次测试不同的值都设置不同的User-Agent,在渗透测试中是不切实际的。
Kali Linux使用ZAP爬虫功能
2201_75509440的博客
06-26 959
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAPZAP则可以通过对其抓包进行分析、扫描。
owasp zap使用
06-01
OWASP ZAP(Zed Attack Proxy)是一款常用的免费开源网络应用程序安全测试工具,可以被用于发现和利用Web应用程序的安全漏洞。以下是使用OWASP ZAP的简单步骤: 1. 下载并安装OWASP ZAP。 2. 启动OWASP ZAP并在代理菜单中选择“启动代理”。 3. 配置浏览器使用OWASP ZAP作为代理服务器。在浏览器中输入“about:preferences#advanced”并在“网络”选项卡中选择“设置”按钮。在代理服务器选项中选择“手动代理配置”并输入ZAP代理服务器的IP地址和端口号。 4. 浏览到要测试的Web应用程序并开始浏览。OWASP ZAP将记录所有的HTTP请求和响应。 5. 在OWASP ZAP中选择“自动扫描”并选择要扫描的目标应用程序。OWASP ZAP将自动扫描应用程序,并在扫描完成后生成一个报告。 6. 手动测试:在OWASP ZAP中选择“手动探测”并选择要测试的目标应用程序。使用OWASP ZAP的工具手动测试应用程序,例如:拦截器、爬虫、代理等。 这只是OWASP ZAP的基本使用,该工具还提供了更多高级功能,例如:自定义脚本、插件等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值