导航目录
一、OWASP-ZAP简介
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应。它即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。下面是ZAP各大版块。
提示:以下是本篇文章正文内容,下面案例可供参考
OWASP-ZAP主要拥有以下重要功能:
本地代理
主动扫描
被动扫描
Fuzzy
暴力破解
虽然OWASP-ZAP拥有很多的功能,但是他最强大的功能还是主动扫描,可以自动对目标网站发起渗透测试,可以检测的缺陷包括路径遍历、文件包含、跨站脚本、sql注入等等。
二、操作步骤
1.在Kali Linux中启动OWASP ZAP。
(需要在kali中先安装)在搜索栏中搜索ZAP安装
2.在OWASP ZAP,将ZAP中的代理端口由8080改为8088
打开OWASP ZAP,将ZAP中的代理端口由8080改为8088。–修改代理服务器参数
安装完成进入主见面点击Tools,找到OPtions
找到network中的 Local Servers在port中修改为8088之后点击ok。
3.更改的原因:
默认情况下,它使用端口8080, 这是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理。
5.修改kali linux中firefox的代理参数
打开火狐浏览器,找到settings。
选择Manual,在HTTP中输入127.0.0.1 port:8088.勾选Also use this proxy for HTTPS(将此代理用于HTTPS),在No proxyfor中输入localhost,127.0.0.1。
修改kali linux中firefox的代理参数-方法二 (略)
使用FoxyProxy插件设置多个代理,切换他们只需要点击一下。
修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。
拿买火车票打比喻:配置了代理后,Firefox要去买火车票就必须通过ZAP,Firefox自己不能去买火车票。代购/票贩子/黄牛党。
6. 在kali linux中使用firefox打开靶场网页,再点击页面中的WackoPicko,观察过程中ZAP的情况。
打开firefox浏览器搜索owasp靶场ip进去后点击Wackopicko
可以发现在zap中出现了许多记录
总结
代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到想要浏览网页的服务器,而是发送到定义的地址。然后ZAP将请求转发给服务器,但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同,需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。如果文件存在,服务器将相应地做出响应,如果它们不存在或者当前用户无法访问,则服务器将返回错误。