前言:
OWASPZed Attack Proxy (ZAP)是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在这个小节中,我们将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。
一.准备要求:
为了使这个程序工作,我们需要使用ZAP作为我们的Web浏览器的代理:
从Kali Linux菜单启动OWASP ZAP,然后从Applications | 03 - Web Application Analysis | owasp-zap
二. 任务描述:
1. 实验前准备- 靶场-OWASP BWA
在VMware上打开OWASP_Broken_Web_App,打开后,查看靶机ip,如下图示
2. 打开OWASP ZAP
3.将ZAP中的代理端口由8080改为8088。--修改代理服务器参数
更改端口的原因:
默认情况下,它使用端口8080, 这是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理。
4.修改kali linux中firefox的代理参数
打开Firefox进入设置界面
使用手动配置代理,将http代理改为127,0,0,1,端口修改为8088,并将此代理用于https,下面的不使用代理输入locahost,127.0.0.1。
5.修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。
拿买火车票打比喻:配置了代理后,Firefox要去买火车票就必须通过ZAP,Firefox自己不能去买火车票。代购/票贩子/黄牛党。
6. 在kali linux中使用firefox打开靶场网页http://192.168.17.129,再点击页面中的WackoPicko
在底部面板中,我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。
代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。
当我们将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到我们想要浏览网页的服务器,而是发送到我们定义的地址。然后ZAP将请求转发给服务器,但我们发送的是没有注册和分析过的信息。
ZAP的强制浏览与DirBuster的工作方式相同; 我们需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。如果文件存在,服务器将相应地做出响应; 如果它们不存在或者当前用户无法访问,则服务器将返回错误。
7.总结感悟
在这个小节中,使用BurpSuite作为代理捕捉请求来改变Content-Type报头,从而绕过了客户端应用程序的验证机制。 Content-Type是客户机(尤其是POST和PUT请求中)设置的标准HTTP头文件,用于向服务器指示它接收的数据类型。很多时候,开发者通过判断content-type过滤危险文件。正如刚才看到的,在防止用户向服务器上传恶意文件方面,这种保护措施是远远不够的。
拦截和修改请求包是web应用渗透测试的一个非常重要的方面,它不仅可以绕过一些客户端验证(就像在本示例中所作的那样),还可以研究发送了哪些信息,并且尝试理解应用程序的内部工作方式。为了便于理解,还可能需要添加、删除或替换一些值。
学习心得
经过这一个学期对kali-linux的学习,我对kali-linux有了更深入、全面的认识。同时,kali-linux的发展也是非常迅速的,未来它会有更加广泛的应用前景。在未来的学习和实践中,我相信我可以更加深入地了解kali-linux,我们求学问道,读万卷书,行万里路,就是为了走出我们的偏见。
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
