mac上的入门使用指南
下载和安装
官网下载地址 https://www.zaproxy.org/
mac下载下来是dmg文件,直接打开即可;需要注意的是该程序需要Java8支持。
本地代理
- owasp打开后,代理默认就是打开的,代理端口默认是8080,端口是可以修改的
- 给浏览器或需要测试的应用设置代理
这里以mac为例
a 打开设置-网络-高级,打开HTTP和HTTPS代理,如图
设置为后打开浏览器,owasp就能拦截到http的网络请求了;但HTTPS的还需要进一步配置,原因是HTTPS需要系统对owasp的证书进行信任,否则会一直弹证书信任提示框。
b 添加owasp证书到钥匙串
打开 钥匙串访问.app
选择系统-证书
在菜单中选择 文件-导入项目,将owasp的证书导入并信任就可以了。
owasp的证书怎么获取呢?owasp的设置里有一项叫Dynamic SSL Certificate,点击并生成,最终会保存为一个.cer证书文件。
到此为止,owasp可以抓取电脑上的https相关请求了。
主动扫描
主动扫描是首先给定需要扫描的系统地址,扫描工具通过某种方式访问这个地址,如使用各种已知漏洞模型进行访问,并根据系统返回的结果判定系统存在哪些漏洞;或者在访问请求中嵌入各种随机数据(模糊测试)进行一些简单的渗透性测试和弱口令测试等。
主动扫描覆盖测试面会比较大,但缺点是完成一次全面扫描非常耗时 (一般都需要几个小时)
被动扫描
待续
参考资料
https://blog.csdn.net/wxh0000mm/article/details/104450024
https://testerhome.com/topics/10323