OWASP ZAP安全测试

工具介绍

---

OWASP Zed attack proxy 是一款 web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。
OWASP_ZPA 支持截断代理，主动、被动扫描，Fuzzy，暴力破解并且提供 API。
OWASP_ZPA 是Kali Web Top 10 之一。
参考OWASP测试指南

下载安装

---

1、网上下载版本：ZAP_2_7_0_windows
2、参考下载网址：https://github.com/zaproxy/zaproxy/wiki/Downloads
3、傻瓜式安装，语言选择英文即可安装成功

image.png

测试使用

---

1、打开ZAP，设置进程
首次打开ZAP时，会询问是否要保存ZAP进程，以及如何保存。

image.png

保存进程可以让历史操作得到保留，下次只要打开历史进程就可以找到之前扫描过的站点以及测试结果等。
一般来说，如果对固定产品做定期扫描，应该保存一个进程做为长期使用，选第一或者第二个选项都可以。如果只是想先简单尝试ZAP功能，可以选择第三个选项，那么当前进程暂时不会被保存。

image.png

2、设置代理
打开设置选项Options,设置代理信息，如未修改，且默认端口被占用，每次打开ZAP会提示不能监听8080端口，本测试中，端口修改为6070，即ZAP的地址和端口是localhost:6070

image.png

image.png

3、打开浏览器，设置代理服务，将端口设置和ZAP一致

image.png

4、设置完成后，在待测访问页面，可以通过ZAP进行抓包、分析、渗透性测试等
1）主动爬取网站
ZAP和浏览器配置一致代理情况下，使用浏览器进行任何站点的访问都会经过ZAP，context记录里留下该站点记录

image.png

右键点击需要测试的站点，选择攻击-爬行，弹出窗口点击Start Scan，开始手动爬取网站

image.png

image.png

2）主动扫描
右键点击需要测试的站点，选择攻击-Active Scan，触发主动扫描

image.png

image.png

扫描完毕后，同样可以切换到“警报”界面，查看安全风险项，或者输出测试报告。
3）Fuzzer
右键点击需要测试的站点，选择攻击- Fuzzer，当然也可以通过菜单栏工具设置

image.png

可以参考学习https://www.jianshu.com/p/78d7d4ad8054
5、快速渗透测试：输入网址，点击攻击

image.png

快速攻击过程中，ZAP执行如下操作：
1）使用爬虫抓取被测网站的所有页面
2）在页面抓取的过程中被动扫描所有获得的页面
3）抓取完毕后用主动扫描的方式分析页面，功能和参数
6、结果分析

image.png

由上到下分别为：高、中、低、信息、通过
在窗口最底部，切换至警报页面，可以看到所有扫描出的安全性风险（图示警告位置），且所有风险项可以展开，ZAP在右侧窗口会对该风险项提供说明和解释
并且在右上部response区域高亮展示具体风险项由来（从反馈中分析得出的）

image.png

image.png

通过点击菜单栏报告-输出HTML、XML等多种格式安全性测试报告

image.png

7、其他
安全渗透测试流程规范可参考https://www.jianshu.com/p/d41310082f38

image.png

SQL注入测试可参考https://www.jianshu.com/p/3749cec2a969
其他工具或内容可参考
企业不可不知的信息安全工具
排名前5的5个漏洞扫描程序【安全人员的福音】
最新调查：10类排名最高的软件安全性测试工具汇总
渗透测试员必备！超好用的安全工具Top 10盘点！
OWASP示例
OWASP_ZAP
跨站点 WebSocket 劫持漏洞
为什么不推荐去做安全测试工程师？