• OWASP ZAP下载、安装、使用(详解)教程


    OWASP ZAP下载、安装、使用(详解)教程

    OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

    也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

    即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

    主要拥有以下重要功能:

    • 本地代理
    • 主动扫描
    • 被动扫描
    • Fuzzy
    • 暴力破解

    一、OWASP ZAP 下载地址

    github项目:https://github.com/zaproxy/zaproxy/wiki/Downloads

    二、OWASP ZAP 安装

    安装我就不多说了,它有Windows(64)安装程序、 Windows(32)安装程序、 Linux安装程序、 MacOS安装程序等。

    Windows下载下来的是exe的,双击就可以了!

    Linuxg下载下来的不是.sh就是tar.gz,这个就更加简单了。

    唯一需要注意的是:

    Windows和Linux版本需要运行Java 8或更高版本JDK,MacOS安装程序包括Java 8;

    例如:今天一位网友在windows下载安装启动owasp-zap时,做出如下提示:

    The install4j wizard could not find a Java(TM) Runtime Environment on your system. Please locate a suitable 64-bit JRE.(minimun version:1.8)

    中文翻译

    install4j向导无法在系统上找到Java(TM)运行时环境。 请找到合适的64位JRE。(最小版本:1.8)

    The install4j wizard could not find a Java(TM) Runtime Environment on your system. Please locate a suitable 64-bit JRE.(minimun version:1.8)

    这位网友问我:我下载了java8并安装了,但不知道为什么找不到java EXE?

    找不到java EXE

    我的回答是:java下载的不对,或没成功安装java;一定要下载、安装Java JDK

    果然安装JDK成功解决!

    三、OWASP ZAP使用教程(详解)

    由于Kali Linux里面也集成了OWASP ZAP工具,我就拿Kali Linux里面的OWASP ZAP来做示例吧!

    1、更新

    由于owasp zap 官方不定期的会更新zap插件和zap版本,我们可以通过手动更新的方式如下:

    owasp zap更新

    如果你想更新单个,你可以这样:后面如果出现【更新】的字样的话,可以选择后【update selected】更新即可!

    Marketplace为插件市场,是选择性安装的插件。主要分为一下3类的插件:

    • release:为经过长期验证比较成熟的插件
    • beta:为正在测试测试中的插件,可能会出现问题
    • alpha:比beta更加低的测试版插件

    建议release和beta版的都安装上,alpha版本的可选择性安装!

    owasp zap Marketplace插件市场

    2、本地代理设置

    给firefox 浏览器设置http代理(也可以是其他浏览器),owasp zap默认使用8080端口开启http代理;火狐浏览器设置代理

    如果你想修改owasp zap默认的代理,owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改:owasp zap本地代理设置

    3、简单攻击

    然后我们再去火狐浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。

    攻击是需要有步骤的:

    首先:手动爬行网站后,选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children)。

    owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)。owasp zap爬行

    以上的目的是尽量的爬行出网站的所有链接页面!

    其次:以上工作做完以后,就可以选择该站点进行active scan(主动扫描)

    owasp zap active scan(主动扫描)

    owasp zap active scan(主动扫描)

    主动扫描上面有一些相关 设置,例如:信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置,不是很了解的朋友们只需要用默认的即可!

    最后:主要就是查看扫描结果,主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

    owasp zap主动扫描结果

    如果你想验证该漏洞的真实有效性,你可以选择该漏洞点进行相应安全工具再进一步的测试!

    4、persist session结果保存

    【文件】-【persist session】,该功能主要保存“扫描分析的结果”,方便下次继续分析!

    owasp zap扫描结果保存

    5、扫描模式

    主要有4中扫描模式:安全模式、保护模式、标准模式、攻击模式;

    owasp zap默认用的是标准模式,你可以在【编辑 】- 【ZAP Mode】中选择你想要的模式。

    owasp zap扫描模式

    6、扫描策略

    有两个地方可以添加扫描策略 (1)【分析】-【扫描策略】,(2)设置按钮

    owasp zap添加扫描策略

    扫描策略你可以自己随意设置的!如果不懂就用默认的吧!owasp zap扫描策略设置

    • Policy:扫描策略名称,需要填写
    • Default Alert Threshold:告警阀值,有low、medium、high,阀值越高owasp zap扫描爆出的漏洞数就越少,阀值越高owasp zap就只爆出确认的漏洞高的。
    • Default Attack Strength:攻击强度,有low、medium、high、insane,强度越高,扫描速度越快
    • Apply xx Threshold to All:把告警阀xx值给所有扫描插件,点击go 生效
    • Apply xx Strength to All:把扫描强度xx应用给所有扫描插件,点击go 生效

    7、扫描时跳过某个插件扫描

    在【扫描监控】中,点击旁边的蓝色按钮,可跳过该插件的检测!

    owasp zap扫描时跳过某个插件扫描

    8、CSRF Tokens设置

    部分网站有防止csrf的token,无法正常提供token网站会重定向,可以通过owasp zap 的anti csrf tokens功能来添加该网站的token名称,告知owasp zap。

    在【设置】-【Anti CSRF Tokens】里添加。

    owasp zap设置anti csrf tokens

    9、设置代理后,https网站证书不受信任问题

    owasp zap 进行代理时,浏览器访问https的网站,owasp zap使用自己的证书与浏览器建立ssl连接,由于owasp zap证书不受信任,因此需要把owasp zap的证书手动导出(cer格式的证书),导入到浏览器中即可!

    导出owasp zap的证书的方法【设置】-【Dynamic SSL Certificates】;

    owasp zap设置dynamic ssl certificates

    10、contexts/scope 站点过滤

    该功能可快速的定位自己关心的站点;

    owasp zap站点过滤

    11、session properties

    owasp zap 扫描站点的所有session结果都保存在session properties 中,默认是手动通过浏览器填写账号密码来记录session;owasp zapsession properties

    12、http session

    owasp zap 默认有如下的字段名,如果网站中有其他自定义的session名,需要自己添加进来;

    owasp zap http session

    查看http session的值;

    owasp zap查看http session的值

    13、编码解码工具

    【工具】-【编码解码哈希】

    owasp zap编码解码工具

    14、爬行useragent设置

    【设置】-【connection】

    owasp zap useragent设置

    15、fuzzer模糊测试(漏洞检查工具)

    直接右键需要fuzzer的http包,选择fuzzer,选中需要fuzzer的值,添加payload;

    owasp zap fuzzer模糊测试

    这里以sql注入的fuzzer为例,选择一个参数值,点击add,选择fuzzer的类型;

    owasp zap fuzzer模糊测试

    再查看fuzzer的测试结果; owasp zap fuzzer模糊测试

    16、代理截断

    owasp zap默认使用8080代理,截断默认关闭,要启动阶段需要点击。

    owasp zap 代理截断

    owasp zap截断功能响应太慢,没burpsuit的好用!


    注意:

    kali linux新版本的OWASP_ZAP如果你不是很了解的话,或许你的“站点”这里并不能显示你浏览过的网站。OWASP_ZAP设置代理后,“站点”这里显示不出任何网站解决方法如下:

    第一步:启动Manual Explore(手动浏览)

    OWASP_ZAP Manual Explore

    第二步:启动浏览器,选择“Firefox”;毕竟Kali Linux自带的只有Firefox浏览器;

    OWASP_ZAP启动浏览器

    第三步:再通过启动的这个Firefox浏览器再去访问网站,“站点”这里就会显示出来了。

    原文: www.fujieace.com

    发布日期:2018年08月14日 14:58:30  所属分类:Kali Linux

     
  • 相关阅读:
    51Nod1119
    stoi
    坑爹大质数
    USACO07OPEN Cheapest Palindrome
    USACO08NOV Mixed Up Cows
    USACO12FEB Nearby Cows
    SCOI2009 粉刷匠
    USACO16OPEN 248
    POI2014 PTA-Little Bird
    USACO17FEB Why Did the Cow Cross the Road I G
  • 原文地址:https://www.cnblogs.com/hanzeng1993/p/12132627.html
Copyright © 2020-2023  润新知