Windows下如何搭建ZAP安全工具及session生成

前言

在你对Web应用所执行的测试中,安全测试可能是最重要的,但它却常常是最容易被忽略的,然而它也是最致命的。

今天分享给大家的是一款安全工具Zap的安装和简单使用。

Windows下如何搭建ZAP安全工具及session生成_第1张图片
image

Zap的安装

环境: windows10 64位。

要求:已安装Java1.8以上的JDK。

首先,打开

https://github.com/zaproxy/zaproxy/wiki/Downloads

并下载Windows(64)安装程序。

下载成功以后,双击exe程序,点击运行,来到了这个界面。

Windows下如何搭建ZAP安全工具及session生成_第2张图片
image

直接默认英语,点击ok(ps:我找了没有中文)。

Windows下如何搭建ZAP安全工具及session生成_第3张图片
image

下一步

Windows下如何搭建ZAP安全工具及session生成_第4张图片
image

同意协议,点击下一步

Windows下如何搭建ZAP安全工具及session生成_第5张图片
image

选项1:默认安装。默认安装一般在C盘。

为了减少C盘的占用,我选择了选项2:自定义安装。

Windows下如何搭建ZAP安全工具及session生成_第6张图片
image

选择自己要安装的硬盘区,然后一直点击下一步。

Windows下如何搭建ZAP安全工具及session生成_第7张图片
image

点击安装。等到安装完成,桌面会显示一个OWASP图标。

image

至此,整个安装过程就算完成了。

Windows下如何搭建ZAP安全工具及session生成_第8张图片
image

Zap的session生成及保存

2.1 通过url攻击生成会话session,并查看html报告

点击桌面图标,打开ZAP,会来到这个界面。

Windows下如何搭建ZAP安全工具及session生成_第9张图片
image

点击开始

Windows下如何搭建ZAP安全工具及session生成_第10张图片
image

会新建一个默认站点。 紧接着输入需要测试的URL,点击攻击。

https://mp.weixin.qq.com/

这里以公众号的链接为例

Windows下如何搭建ZAP安全工具及session生成_第11张图片
image

点击攻击后,zap会对目标网站进行扫描,爬取当前页面的url链接。当所有

url爬取完毕,zap会对这些url发起主动扫描攻击。

Windows下如何搭建ZAP安全工具及session生成_第12张图片
image

扫描完成后,可通过报告>生成HTML报告来查看扫描结果。

Windows下如何搭建ZAP安全工具及session生成_第13张图片
image

点击保存,浏览器会自动打开刚才生成的html文件。

Windows下如何搭建ZAP安全工具及session生成_第14张图片
image

2.2 通过录制生成session,并保存session会话

回到首页,选择要进行录制的浏览器,推荐使用谷歌浏览器。
Windows下如何搭建ZAP安全工具及session生成_第15张图片
image

点击启动录制,你会发现一个打开的浏览器。

写过UI自动化的童鞋,可能会很熟悉,这货不就是selenium打开浏览器的情况。

是的,没错,zap的浏览器录制,底层使用的是selenium的webdriver驱动。

Windows下如何搭建ZAP安全工具及session生成_第16张图片
image

输入我们要测试的url,还是以公众号链接为例

Windows下如何搭建ZAP安全工具及session生成_第17张图片
image

通过浏览器录制的方式,有个好处,可以手动登录网站进行录制。与此同时,zap会录制你当前动作所有请求的url链接。就是说,你可以通过浏览器录制,测试你网站的任何一个页面,包括任何一个请求!

访问完想要测试的页面,关闭浏览器。

来到主页,打开站点,找到刚才测试的域名。

Windows下如何搭建ZAP安全工具及session生成_第18张图片
image

右键域名>攻击>主动扫描(Active Scanning)

Windows下如何搭建ZAP安全工具及session生成_第19张图片
image

点击开始扫描

Windows下如何搭建ZAP安全工具及session生成_第20张图片
image

扫描完成后,会生成session,并保存攻击方式。

Windows下如何搭建ZAP安全工具及session生成_第21张图片
image

最后打开文件选项,点击Persist Session。

Windows下如何搭建ZAP安全工具及session生成_第22张图片
image

指定目录,保存刚才生成的session会话。

Windows下如何搭建ZAP安全工具及session生成_第23张图片
image

保存session会话后,关闭zap,打开weixin文件夹(之前保存session话的文件夹),你会看到4个文件。

Windows下如何搭建ZAP安全工具及session生成_第24张图片
image

ok,今天zap的安装和简单使用就到了,觉得少杰写得还不错的话,可以点赞转发进行支持哦。

下一篇《Jenkins集成Zap安全测试》,敬请关注~

Windows下如何搭建ZAP安全工具及session生成_第25张图片
image

你可能感兴趣的:(Windows下如何搭建ZAP安全工具及session生成)