配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一
OWASP ZAP
一、简介
OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。
另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
二、优缺点
1.优点
免费的web application 扫描器
更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器
2.缺点
现阶段ZAP的中文支持做得还不是很好,基本的操作界面以英文为主。
就插件而言,没有burpSuit工具丰富
三、安装
有Windows(64)安装程序、 Windows(32)安装程序、 Linux安装程序、 MacOS安装程序等。
1.下载地址
github地址:https://github.com/zaproxy/zaproxy/wiki/Downloads
OWASP ZAP 官方下载地址:https://www.zaproxy.org/download/
2.下载注意
Windows下载下来的是exe的,双击就可以了!Linux下载后是.sh/tar.gz,直接用命令安装即可
Windows和Linux版本需要运行Java 8或更高版本JDK,MacOS安装程序包括Java 8;如果还有其他的问题,可能是java下载的不对,或没成功安装java。总之一定要下载、安装Java JDK
四、主要功能介绍
1.界面介绍
2.初次启动的session实例保存
将本次扫描结果保存到一个ZAP默认的路径中
将本次扫描结果保存到一个指定的路径中(推荐选第二个)
本次扫描结果不保存
3.默认侦听的端口是8080,如果要更改端口,则点击选项按钮进行修改即可
4.更新插件
Release:经过长期的测试使用,现在已经是正式发布的版本,很稳定。
Beta:不太成熟,但是已经推出来给大家使用,可能在使用过程中存在缺陷。
Alpha:比beta还要beta的版本,由于某种需求临时推出来的插件
5.扫描模式
安全:以比较安全的方式去扫描网站,不会对网站做任何的破坏性的操作
保护:只对指定的网站做一些危险性的扫描
标准:会有一些危险的扫描动作,有可能对目标站点做一些破坏,但破坏不会很大
攻击:能扫多少扫多少,能有多猛就多猛。
6.证书安装
7.API
http://zap/ # 需要开启ZAP监听的情况下访问,该网站提供API方便开发人员使用
8.扫描策略
1.默认告警阈值:简单的理解为扫描器发现漏洞的信息强度,一般中等即可,防止漏报误报的情况。
2.默认攻击强度:参考扫描模式
3.应用的是阈值,To针对的是ZAP已安装的插件,除了这个之外,是可以单独调整不通插件的阈值和强度
9.常见选项的解释
1.HTTP SESSIONS:更改不同的SESSIONS,可以让ZAP用不同的身份去扫描
2.防止CSRF:部分网站有防CSRF攻击,从而设置Token,该功能让ZAP允许进行CSRF测试,将网站的CSRF变量名写入即可。
3.Passive Scan Rules:被动规则扫描的内容设置
4.检查更新:顾名思义
10.编码解码功能
五、扫描网站实例
目标地址:http://testphp.vulnweb.com/ # AWVS的漏洞测试网址
1.访问网站后,在站点中会记录访问过的网址
2.选中目标网址,右键—>攻击—>主动扫描
3.在底部的标签栏中会显示测试的进度、测试发出的请求等等
4.在警报栏中可以看见扫出来的漏洞种类及数量
5.最后导出漏洞报告
漏洞报告文件在附件中
6.漏洞报告查看
7.漏洞手动检测
8.检测结果
六、参考文章
https://www.fujieace.com/kali-linux/owasp-zed-zap.html # OWASP ZAP下载、安装、使用(详解)教程
https://www.cnblogs.com/yingyingja/p/10219012.html # 安全性测试:OWASP ZAP使用入门指南