Windows下如何搭建ZAP安全工具及session生成

前言

在你对Web应用所执行的测试中，安全测试可能是最重要的，但它却常常是最容易被忽略的，然而它也是最致命的。

今天分享给大家的是一款安全工具Zap的安装和简单使用。

image

Zap的安装

环境： windows10 64位。

要求：已安装Java1.8以上的JDK。

首先，打开

https://github.com/zaproxy/zaproxy/wiki/Downloads

并下载Windows（64）安装程序。

下载成功以后，双击exe程序，点击运行，来到了这个界面。

image

直接默认英语，点击ok（ps：我找了没有中文）。

image

下一步

image

同意协议，点击下一步

image

选项1：默认安装。默认安装一般在C盘。

为了减少C盘的占用，我选择了选项2：自定义安装。

image

选择自己要安装的硬盘区，然后一直点击下一步。

image

点击安装。等到安装完成，桌面会显示一个OWASP图标。

image

至此，整个安装过程就算完成了。

image

Zap的session生成及保存

2.1 通过url攻击生成会话session，并查看html报告

点击桌面图标，打开ZAP，会来到这个界面。

image

点击开始

image

会新建一个默认站点。 紧接着输入需要测试的URL，点击攻击。

https://mp.weixin.qq.com/

这里以公众号的链接为例

image

点击攻击后，zap会对目标网站进行扫描，爬取当前页面的url链接。当所有

url爬取完毕，zap会对这些url发起主动扫描攻击。

image

扫描完成后，可通过报告>生成HTML报告来查看扫描结果。

image

点击保存，浏览器会自动打开刚才生成的html文件。

image

2.2 通过录制生成session，并保存session会话

回到首页，选择要进行录制的浏览器，推荐使用谷歌浏览器。

image

点击启动录制，你会发现一个打开的浏览器。

写过UI自动化的童鞋，可能会很熟悉，这货不就是selenium打开浏览器的情况。

是的，没错，zap的浏览器录制，底层使用的是selenium的webdriver驱动。

image

输入我们要测试的url，还是以公众号链接为例

image

通过浏览器录制的方式，有个好处，可以手动登录网站进行录制。与此同时，zap会录制你当前动作所有请求的url链接。就是说，你可以通过浏览器录制，测试你网站的任何一个页面，包括任何一个请求！

访问完想要测试的页面，关闭浏览器。

来到主页，打开站点，找到刚才测试的域名。

image

右键域名>攻击>主动扫描（Active Scanning）

image

点击开始扫描

image

扫描完成后，会生成session，并保存攻击方式。

image

最后打开文件选项，点击Persist Session。

image

指定目录，保存刚才生成的session会话。

image

保存session会话后，关闭zap，打开weixin文件夹（之前保存session话的文件夹），你会看到4个文件。

image

ok，今天zap的安装和简单使用就到了，觉得少杰写得还不错的话，可以点赞转发进行支持哦。

下一篇《Jenkins集成Zap安全测试》，敬请关注~

image