Kali linux 学习笔记（四十三）Web渗透——扫描工具之OWASP_ZAP 2020.3.19

前言

OWASP_ZAP

• 全球最受欢迎的免费安全工具之一，由数百名国际志愿者积极维护
• 它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞
• 它也是经验丰富的测试者用于手动安全测试的好工具。
• 比之前学习的所有工具都优秀
• 不可或缺的工具

1、安装

国内链接：http://www.owasp.org.cn/
官网链接：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
GITHUB 下载:https://github.com/zaproxy/zaproxy

apt-get update
apt-get upgrade
apt-get install zaproxy

2、截断代理

选择会话保存方式
浏览器设置代理
owasp-zap 查看截获的代码
可以使用代理手动点击站内所有链接进行手动爬网
查看请求
查看警告

3、主动扫描

输入URL，启动
ZAP会自动进行
但需要配合身份认证

4、Fuzzer 测试

工具菜单启动fuzzer
也可以选择站点，在右侧请求里，对url右键启动fuzzer
payload指定字典
有目录的有SQL注入的

5、 API 功能

127.0.0.1:8080
在已经设置代理的情况下：http://zap/
可以查看各种API

6、设置

persist session：启动的时候决定是否保存
mode：safe——保护目标系统，安全性扫描，防止系统挂死；protected——只能对指定的application进行危险扫描；standard——最危险的不会做；attack——肆无忌惮
add-ons升级：有个三个小方块的图标
scan policy：对站点右键，攻击下的active scan，在policy处选择策略；add-ons升级左边按键可以用来设置策略
anti csrf tokens：设置里进行设置
http-CA：在设置里有证书
Scope / Contexts / filter：限制扫描范围，凡是有狙击准星的都包含在 scope 中，准星的作用类似于 “感兴趣” 标记
http session：一般建议使用 cookies，使用 manual 方式，使用浏览器手动输入账号密码，owasp_zap 默认临时性将 session 保存在本地，然后之后再扫描就自动化提取 session 完成扫描

7、测试流程

设置浏览器代理
手动点击网站内所有的链接， owasp_zap 会收到所有的数据
使用自动爬网攻击
把爬网发现的每一个变量都进行攻击测试
扫描结果

结语

功能非常全面
GUI界面
也可以API自己编写
可自行摸索

可参考
https://blog.csdn.net/u013224189/article/details/49513637