OWASP Zed攻击代理(ZAP )是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。 这有助于在开发和测试APP应用程序时自动检测web APP应用程序的安全漏洞。 类似的web APP应用程序扫描工具包括AWVS、APPSCAN等。
也可以说ZAP是中间人代理。Web应用程序发出的所有请求以及您从中收到的所有响应
这意味着它可以用于安全专家、开发人员、功能测试人员,甚至渗透测试的入门者。 它也是经验丰富的测试人员用于手动安全测试的优秀工具。
主要功能如下。
本地代理主动扫描被动扫描Fuzzy暴力解读
一. OWASP ZAP下载地址github项目: https://github.com/za proxy/za proxy/wiki/downloads
二、OWASP ZAP的安装不多说,有windows(64 )的安装程序、windows的安装程序、Linux的安装程序、MacOS的安装程序等。
Windows下载了exe,双击就可以了!
Linuxg下载的不是. sh也不是tar.gz,这更简单。
需要注意的是:
Windows和Linux版本需要运行Java 8或更高版本JDK,MacOS安装程序包括Java 8;
例如,今天的网民在windows下载安装中启动owasp-zap时,发出了以下提示。
the install4jwizardcouldnotfindajava (TM ) runtimeenvironmentonyoursystem.pleaselocateasuitable 64-bit JRE.(minimunversionversion
中文翻译
install4j向导在系统中找不到Java运行时环境。 请找到合适的64位JRE。 (最小版本: 1.8 )
这位网友问我:“下载并安装了java8,但我不知道为什么找不到java EXE。”
我的回答是,java下载错误,或者java安装失败; 必须在Java JDK
果然安装了JDK解决成功了!
三、OWASP ZAP使用教程(详细) Kali Linux也集成了OWASP ZAP工具,以Kali Linux上的OWASP ZAP为例。
1、更新
由于owasp zap会正式定期更新zap插件和zap版本,因此可以通过手动更新来执行以下操作
想更新每个时,如果后面出现【更新】的文字,选择后更新【update selected】即可。
Marketplace是插件市场,是选择性安装的插件。 主要分为以下三类插件:
发布:经过长期验证的比较成熟的插件beta :对于正在测试的插件,可能出现的测试版插件低于问题alpha:beta
我们建议您同时安装发行版和测试版。 阿尔法版可以可选安装。
2、本地代理设置
在firefox浏览器中设置http代理,owasp zap默认使用8080端口打开http代理;
如果要更改owasp zap的默认代理,可以在【工具】-【选项】-【本地代理】中更改owasp zap的代理设置。
3、简单攻击
然后,通过火狐浏览器自由访问任何网站,都可以剪切和攻击已访问的网站。
攻击需要步骤:
首先,手动搜索站点,然后选择该站点进行owsap zap强制浏览站点、强制浏览目录和forcedbrowsedirectory (and children )。
对于owasp zap强制目录浏览,请选择使用owasp zap附带的directory-list-1.0.txt目录词典尝试爬网。 也可以定制词典。
以上目的是尽量爬出网站的所有链接页面!
完成以上操作后,您可以选择此站点进行活动扫描
主动扫描包括信息收集、客户和设备、服务器安全、注入等设置。 有一定的基础就可以设置。 不熟悉的朋友用默认的就可以了。
最后,主要是看扫描结果,主动扫描
描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看落寞的航空和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。如果你想验证该漏洞的真实有效性,你可以选择该漏洞点进行相应安全工具再进一步的测试!
4、persist session结果保存
【文件】-【persist session】,该功能主要保存“扫描分析的结果”,方便下次继续分析!
5、扫描模式
主要有4中扫描模式:安全模式、保护模式、标准模式、攻击模式;
owasp zap默认用的是标准模式,你可以在【编辑 】- 【ZAP Mode】中选择你想要的模式。
6、扫描策略
有两个地方可以添加扫描策略 (1)【分析】-【扫描策略】,(2)设置按钮
Policy:扫描策略名称,需要填写Default Alert Threshold:告警阀值,有low、medium、high,阀值越高owasp zap扫描爆出的漏洞数就越少,阀值越高owasp zap就只爆出确认的漏洞高的。Default Attack Strength:攻击强度,有low、medium、high、insane,强度越高,扫描速度越快Apply xx Threshold to All:把告警阀xx值给所有扫描插件,点击go 生效Apply xx Strength to All:把扫描强度xx应用给所有扫描插件,点击go 生效
7、扫描时跳过某个插件扫描
在【扫描监控】中,点击旁边的蓝色按钮,可跳过该插件的检测!
8、CSRF Tokens设置
部分网站有防止csrf的token,无法正常提供token网站会重定向,可以通过owasp zap 的anti csrf tokens功能来添加该网站的token名称,告知owasp zap。
在【设置】-【Anti CSRF Tokens】里添加。
9、设置代理后,https网站证书不受信任问题
owasp zap 进行代理时,浏览器访问https的网站,owasp zap使用自己的证书与浏览器建立ssl连接,由于owasp zap证书不受信任,因此需要把owasp zap的证书手动导出(cer格式的证书),导入到浏览器中即可!
导出owasp zap的证书的方法【设置】-【Dynamic SSL Certificates】;
10、contexts/scope 站点过滤
该功能可快速的定位自己关心的站点;
11、session properties
owasp zap 扫描站点的所有session结果都保存在session properties 中,默认是手动通过浏览器填写账号密码来记录session;
12、http session
owasp zap 默认有如下的字段名,如果网站中有其他自定义的session名,需要自己添加进来;
查看http session的值;
13、编码解码工具
【工具】-【编码解码哈希】
14、爬行useragent设置
【设置】-【connection】
15、fuzzer模糊测试(漏洞检查工具)
直接右键需要fuzzer的http包,选择fuzzer,选中需要fuzzer的值,添加payload;
这里以sql注入的fuzzer为例,选择一个参数值,点击add,选择fuzzer的类型;
再查看fuzzer的测试结果;
16、代理截断
owasp zap默认使用8080代理,截断默认关闭,要启动阶段需要点击。
owasp zap截断功能响应太慢,没burpsuit的好用!
注意:
kali linux新版本的OWASP_ZAP如果你不是很了解的话,或许你的“站点”这里并不能显示你浏览过的网站。OWASP_ZAP设置代理后,“站点”这里显示不出任何网站解决方法如下:
第一步:启动Manual Explore(手动浏览)
第二步:启动浏览器,选择“Firefox”;毕竟Kali Linux自带的只有Firefox浏览器;
第三步:再通过启动的这个Firefox浏览器再去访问网站,“站点”这里就会显示出来了。