【安全牛学习笔记】OWASP_ZAP

OWASP_ZAP

Zed attack proxy

WEB Applicaiton集成渗透测试和漏洞挖掘工具

开源免费跨平台简单易用

截断代理

主动、被动扫描

Fuzzy、暴力破解

API

    http://zap/

Do you want to persist the ZAP Session

   Yes,I want to persist this session with name based on the current timestamp

√ Yes,I want to persist this session but I want to specify the name and location

   No,I do not want to persist this session at this moment in time

   Remember my choice and not ask me again.

you can always changs your decision via the Options/Database screen

root@kali:~# netstat -pantu | grep 8080

tcp6       0      0 127.0.0.1:8080          :::*               LISTEN

1685/Java

一、简单介绍

ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具。

ZAP即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。

ZAP除了提供了自动扫描工具还提供了一些用于手动挖掘安全漏洞的工具。

二、基本设置

1菜单栏-->>工具-->>选项-->>本地代理（ie通过本地代理进行测试）

2菜单栏-->>工具-->>选项-->>connection（设置timeout时间及网络代理、认证）

3菜单栏-->>工具-->>选项-->>Spider（设置连接的线程等） 4菜单栏-->>工具-->>选项-->>暴力破解（此处可导入字典文件） 5菜单栏-->>分析-->>扫描策略（设置扫描策略） 三、一些要点 1主动扫描和被动扫描：主动扫描就像普通的扫描器主动去探测测试漏洞，而被动扫描是将写好的正则表达式（规则）放在后台线程，不影响应用程序整体运行速度，被动地对被测试的Web应用程序进行响应（如果触发了规则）。

2请求断点：主要通过请求断点的方法实现绕过客户端验证（通常使用javascript执行），截取请求从浏览器和改变它之前提交到网站所测试的应用程序。

3目录扫描（暴力）主要通过字典文件直接访问目录的形式猜解存在的目录，可用来找管理后台，字典文件目录:G:\program files\OWASP\Zed Attack Proxy\dirbuster

4模糊测试（Fuzzer）：模糊测试是指大量无效的或意外的数据提交到目标的技术。（来源·google）；在此处导入模糊测试列表：菜单栏-->>工具-->>选项-->>Fuzzer，还可以选择默认测试哪种类型的漏洞。

5调用应用程序：例如Nmap（来源google，有这个功能，但是怎么扩展不太明白） 6蜘蛛（Spider）：现手动探索应用程序，只用蜘蛛找到你已经错过了，或以某种方式隐藏的链接。 四、基本的渗透测试流程 1探索：使用浏览器来探索所有的应用程序提供的功能。打开各个URL，按下所有按钮，填写并提交的一切表单类别。如果应用程序支持多个用户，那么做的每一个用户保存在不同的文件，然后再开始使用的下一个用户，启动一个新的会话。

2蜘蛛：使用蜘蛛找到的网址。

3暴力扫描：使用暴力扫描仪找到未引用的文件和目录。

4主动扫描：使用主动扫描器找到基本的漏洞。 

5手动测试：上述步骤或许找到基本的漏洞。为了找到更多的漏洞，需要手动测试应用程序。 另：还有一项端口扫描的功能，作为辅助测试用。

OWASP_ZAP

Persist Session

Mode-----safe、Protected、Standard、ATTACK

升级add-ons

Scan policy

Anti CSRF Tokens

https-----CA

Scope / Contexts / filter

Http Sessions------default session tokens & site session tokens

Note/tag

Passive scan

OWASP_ZAP

标准扫描工作流程

    设置代理

    手动爬网

    自动爬网

    自动扫描

​

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。