OWASP ZAP上手体验
来源:互联网 发布:淘宝注册流程图 编辑:程序博客网 时间:2024/06/10 08:00
新领到一个任务,试下OWASP ZAP。
工具说明
ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。
下载地址
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
工具说明
ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具,可以检测sql注入,跨站脚本,跨站请求伪造以及路径遍历等问题。
下载地址
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
基本设置
l 菜单栏-->>工具-->>选项-->>本地代理(ie通过本地代理进行测试)
l 菜单栏-->>工具-->>选项-->>connection(设置timeout时间及网络代理、认证)
l 菜单栏-->>工具-->>选项-->>Spider(设置连接的线程等)
l 菜单栏-->>工具-->>选项-->>暴力破解(此处可导入字典文件)
l 菜单栏-->>分析-->>扫描策略(设置扫描策略)
将ZAP设置为浏览器的代理
以chrome(windows)为例
点击浏览器右上角的设置(收藏旁边)
点击设置
点击高级选项
点击网络——更改代理服务器设置
点击连接——局域网设置
代理服务器——选中为LAN使用代理服务器,默认127.0.0.1/8080
确定
功能
主动扫描
主动扫描是OWASP ZAP最强大的功能之一,可以自动对目标网站发起渗透测试,可以检测的缺陷包括路径遍历、文件包含、跨站脚本、sql注入等等。
发起快速扫描
l 点击Quick Start
l 填入攻击的目标网址
l 点击“攻击”,如下图:
快速扫描会自动发起spider扫描和主动扫描
Spider扫描:
主动扫描:
扫描结果:
点击警告分类,可以看到当前网站对应的警告信息。如上图所示:
通过站点发起扫描
l 将ZAP设置为浏览器代理
l 打开OWASP ZAP
l 浏览器访问目标网址
l 右击ZAP站点里面的目标网址,选择ActiveScan,发起扫描。如下图:
通过这个方法还可以单独对网站发起蜘蛛爬行等操作,找到有效网址链接。
通过命令行发起扫描
l 命令行进入到OWASPZAP所在的安装目录,例C:\Program Files (x86)\OWASP\Zed Attack Proxy
l 执行以下命令发起扫描:
C:\ProgramFiles (x86)\OWASP\Zed Attack Proxy>zap.bat -cmd -quickurl http://192.168. 40.160:8080/codesafe -quickout d:\report.xml
其中:http://192.168.40.160:8080/codesafe为扫描目标网站
d:\report.xml为报告导出路径
ZAP 命令参数:
参数
解释
-cmd
Runs ZAP 'inline', ie without starting the UI or a daemon
-config
Overrides the specified key=value pair in the configuration file
-daemon
-dir
-installdir
-h
-host
-port
-version
newsession
-session
Starts ZAP in 'daemon' mode, ie without a UI
Uses the specified directory instead of the default one
Overrides the code that detects where ZAP has been installed with the specified directory
Shows all of the command line options available, including those added by add-ons
Overrides the host used for proxying specified in the configuration file
Overrides the port used for proxying specified in the configuration file
Reports the ZAP version
Creates a new session at the given location
Opens the given session after starting ZAP
导出报告
l 点击报告
l 选择生成HTML报告或者XML报告
l 选择保存路径,如图:
报告样式(HTML):
报告样式(xml):
- OWASP ZAP上手体验
- OWASP ZAP上手体验
- owasp-zap设置扫描策略
- OWASP ZAP 2.7.0 版本全球发布|棉花哥的博客
- 树莓派-上手体验
- 树莓派-上手体验
- 树莓派-上手体验1
- 树莓派-上手体验2
- python初次上手体验
- react-native上手体验
- cuDNN V3上手体验
- Pop上手体验(i)
- layabox上手体验
- iOS11上手体验视频
- owasp
- OWASP
- Pop上手体验(i-v)
- Pop上手体验(i-v)
- scroll事件在微信安卓端的研究
- Ubuntu下网络设定
- python with as 进行文件读取
- SLF4J: Class path contains multiple SLF4J bindings.
- toolbar详解
- OWASP ZAP上手体验
- 浮点型在内存当中的存储方式
- aiohttp
- zynq-7000学习笔记(五)——制作BOOT.bin文件
- hdu 1757
- 用java实现地理位置转换,坐标转换,行驶距离计算(高德地图)
- servlet的生命周期和HTTP协议.
- Data Structure: 图 (Graph)
- Unity中的Lod
