Kali Linux渗透测试 079 扫描工具-OWASP_ZAP

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程，教程为安全牛课堂里的《Kali Linux 渗透测试》课程

Kali Linux渗透测试（苑房弘）博客记录

1. OWASP_ZAP 项目简介
2. 简单使用
3. API
4. 基本设置
5. OWASP_ZAP 测试的主要流程

1. OWASP_ZAP 项目简介

---

• 项目简介

  OWASP Zed Attack Proxy（ZAP）是全球最受欢迎的免费安全工具之一，由数百名国际志愿者积极维护*。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。它也是经验丰富的测试者用于手动安全测试的好工具。
  
  OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
  
  近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。
  
  OWASP在业界影响力：
  OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则
  国际信用卡数据安全技术PCI标准更将其列为必要组件
  为美国国防信息系统局（DISA)应用安全和开发清单参考
  为欧洲网络与信息安全局（ENISA), 云计算风险评估参考
  为美国联邦首席信息官（CIO)理事会，联邦部门和机构使用社会媒体的安全指南
  为美国国家安全局/中央安全局， 可管理的网络计划提供参考
  为英国GovCERTUK提供SQL注入参考
  为欧洲网络与信息安全局（ENISA), 云计算风险评估提供参考
  OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准
  

• 链接

  国内链接：ZAP中国：http://www.owasp.org.cn/

  官网链接：ZAP下载地址：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

  GITHUB 下载:GITHU

• 启动

2. 简单使用

---

• 选择会话保存方式

• 浏览器设置代理

• owasp-zap 查看截获的代码

• 可以使用代理手动点击站内所有链接进行手动爬网

• 查看请求

• 查看警告

• 主动扫描

• 主动扫描

• Fuzzer 测试

• 或者模糊测试

• 注入成功的查找

• 暴力破解

3. API

---

• 使用 API 功能

  127.0.0.1:8080
  http://zap/

4. 基本设置

---

• 扫描模式

  safe mode ： 保护目标系统，安全性扫描，防止系统挂死
  

• 升级 add-ons

• 扫描策略

  1

• 反 csrf 令牌

• OWASP_ZAP 代理模式中访问 https 不信任 CA 问题

  将证书保存然后导入 浏览器
  

• Scope / Contexts / filter：限制扫描范围

  凡是有狙击准星的都包含在 scope 中
  

  准星的作用类似于 “感兴趣” 标记
  

• 身份认证方法：Http Sessions——default session tokens & site session tokens

  一般建议使用 cookies
  

  使用 manual 方式，使用浏览器手动输入账号密码，owasp_zap 默认临时性将 session 保存在本地，然后之后再扫描就自动化提取 session 完成扫描
  

  • 基于表单

  • 基于脚本

    
    

  • 设置 cookies 内容

    默认只有 PHPSESSID
    

    设置添加 security
    

    使用 浏览器 重新登录，刷新页面
    

    多用户身份的 PHPSESSID 切换
    

• 代理截断

5. OWASP_ZAP 测试的主要流程

---

1. 设置代理

   设置浏览器代理

2. 手动爬网

   手动点击网站内所有的链接， owasp_zap 会收到所有的数据

3. 自动爬网

   使用自动爬网攻击
   

4. 主动扫描

   把爬网发现的每一个变量都进行攻击测试
   

   扫描结果