Web渗透_扫描工具OWASP_ZAP

OWASP_ZAP

  • Zed attack proxy

  • WEB Applicaiton系统渗透测试和漏洞挖掘工具

  • 开源免费跨平台简单易用

  • 截断代理

  • 主动、被动扫描

  • Fuzzy、暴力破解

  • API

  • http://zap/ 需要浏览器开启代理

安装

  • OWASP ZAP – 下载 (zaproxy.org)
  • https://www.zaproxy.org/download/

Web渗透_扫描工具OWASP_ZAP_第1张图片

  • 之后再kali直接运行,然后选择语言

Web渗透_扫描工具OWASP_ZAP_第2张图片

  • 然后点击下一步

Web渗透_扫描工具OWASP_ZAP_第3张图片

Web渗透_扫描工具OWASP_ZAP_第4张图片

Web渗透_扫描工具OWASP_ZAP_第5张图片

Web渗透_扫描工具OWASP_ZAP_第6张图片

Web渗透_扫描工具OWASP_ZAP_第7张图片

  • 然后直接运行就能打开

Web渗透_扫描工具OWASP_ZAP_第8张图片

  • 启动之后,会自动开启代理

图片

  • 在浏览器上设置代理之后,浏览器访问都经过OWASP_WAP

Web渗透_扫描工具OWASP_ZAP_第9张图片

  • 如果你在dvwa上输入账号用户名也会被抓下来

Web渗透_扫描工具OWASP_ZAP_第10张图片

  • 点击警报会看到很多的问题

Web渗透_扫描工具OWASP_ZAP_第11张图片

  • 当然也可以主动扫描,点击快速开始,把URL粘贴上,点击攻击就行了

Web渗透_扫描工具OWASP_ZAP_第12张图片

  • ZAP也提供了API,在浏览器开启代理的情况下,访问http://zap/

Web渗透_扫描工具OWASP_ZAP_第13张图片

  • ZAP有四种扫描方式

Web渗透_扫描工具OWASP_ZAP_第14张图片

zap的扫描策略

  • 默认的情况下只有一个默认策略

Web渗透_扫描工具OWASP_ZAP_第15张图片

  • 添加扫描策略在这个地方

Web渗透_扫描工具OWASP_ZAP_第16张图片

  • 之后可以添加策略

Web渗透_扫描工具OWASP_ZAP_第17张图片

  • 然后你可以根据你的需求去修改策略

Web渗透_扫描工具OWASP_ZAP_第18张图片

  • 之后保存即可

Web渗透_扫描工具OWASP_ZAP_第19张图片

  • 扫描https,建议将zap的证书导入至浏览器中

Web渗透_扫描工具OWASP_ZAP_第20张图片

Web渗透_扫描工具OWASP_ZAP_第21张图片

Web渗透_扫描工具OWASP_ZAP_第22张图片

导入即可

  • 该工具还有其他很多好用的功能,自行去探索!

你可能感兴趣的:(kali_linux渗透测试,渗透测试)