介紹
OWASP是一個(gè)開(kāi)源的切蟋、非盈利的全球性安全組織榆芦,致力于應(yīng)用軟件的安全研究喘鸟。主要功能包含了:代理镰惦、數(shù)據(jù)攔截修改旺入、主動(dòng)掃描、被動(dòng)掃描礼华、主動(dòng) 攻擊 拗秘、爬蟲(chóng)、fuzzing扮匠、滲透測(cè)試等
原理
ZAP 以攻擊代理的形式來(lái)實(shí)現(xiàn)滲透性測(cè)試凡涩,類似于 fiddler 抓包機(jī)制,即對(duì)系統(tǒng)進(jìn)行模擬攻擊和分析來(lái)確定其安全性漏洞力麸,ZAP 能夠以代理的形式來(lái)實(shí)現(xiàn)滲透性測(cè)試育韩,他將自己置于用戶瀏覽器和服務(wù)器中間,充當(dāng)一個(gè)中間人的角色埃叭,瀏覽器與服務(wù)器的任何交互都將經(jīng)過(guò) ZAP悉罕,ZAP 則可以通過(guò)對(duì)其抓包進(jìn)行分析蛮粮、掃描。
安裝配置
1然想、安裝軟件
首次啟動(dòng) ZAP 時(shí),系統(tǒng)將詢問(wèn)您是否要保留 ZAP 會(huì)話令哟。默認(rèn)情況下屏富,始終使用默認(rèn)名稱和位置將 ZAP 會(huì)話記錄到 HSQLDB 數(shù)據(jù)庫(kù)中的磁盤(pán)上。如果不保留會(huì)話噩死,則退出 ZAP 時(shí)將刪除這些文件神年。
保存進(jìn)程則可以讓你的操作得到保留,下次只要打開(kāi)歷史進(jìn)程就可以取得之前掃描過(guò)的站點(diǎn)以及測(cè)試結(jié)果等垛耳。
一般來(lái)說(shuō)飘千,如果對(duì)固定的產(chǎn)品做定期掃描护奈,應(yīng)該保存一個(gè)進(jìn)程做為長(zhǎng)期使用,選第一或者第二個(gè)選項(xiàng)都可以。
如果只是想先簡(jiǎn)單嘗試 ZAP 功能磺箕,可以選擇第三個(gè)選項(xiàng)松靡,那么當(dāng)前進(jìn)程暫時(shí)不會(huì)被保存。
2岛马、配置代理
打開(kāi) Tools->Options->Local Proxies 選項(xiàng)屠列,ZAP 的默認(rèn)地址和端口是標(biāo)準(zhǔn)的 localhost:8080
3、修改瀏覽器代理
打開(kāi)火狐瀏覽器-設(shè)置-常規(guī)-連接設(shè)置-選擇手動(dòng)配置代理夏志,將http代理設(shè)置為ZAP苛让,端口8080(保持一致)
使用
快速測(cè)試
ZAP 右上方區(qū)域是快速開(kāi)始窗口,可以開(kāi)啟非常傻瓜式的滲透測(cè)試:
輸入網(wǎng)址瘦材,點(diǎn)擊‘攻擊’食棕,在快速攻擊過(guò)程中,ZAP 做了以下幾件事:
- 使用爬蟲(chóng)抓取被測(cè)站點(diǎn)的所有頁(yè)面
- 在頁(yè)面抓取的過(guò)程中被動(dòng)掃描所有獲得的頁(yè)面
- 抓取完畢后用主動(dòng)掃描的方式分析頁(yè)面例隆,功能和參數(shù)
結(jié)果分析
等待上述快速測(cè)試完成以后抢蚀,我們就可以拿到 ZAP 提供的測(cè)試結(jié)果進(jìn)行分析皿曲。
快速測(cè)試中唱逢,ZAP 會(huì)產(chǎn)出以下一些產(chǎn)物:
- 被測(cè)站點(diǎn)地圖及頁(yè)面資源
- 所有請(qǐng)求、反饋記錄
- 安全性風(fēng)險(xiǎn)項(xiàng)目列表
- 其中我們最關(guān)注的當(dāng)然是安全性風(fēng)險(xiǎn)項(xiàng)屋休,ZAP 將做出以下標(biāo)識(shí):
由上到下分別為:高坞古、中、低劫樟、信息痪枫、通過(guò)
其中的所有風(fēng)險(xiǎn)項(xiàng)可以展開(kāi),ZAP 在右側(cè)窗口會(huì)對(duì)該風(fēng)險(xiǎn)項(xiàng)提供說(shuō)明和解釋叠艳,并且在右上部 response 區(qū)域高亮展示具體風(fēng)險(xiǎn)項(xiàng)由來(lái)(從反饋中分析得出的)奶陈。
如果只是簡(jiǎn)單的安全性測(cè)試需求,或者只是為了學(xué)習(xí)安全性測(cè)試知識(shí)附较,到這一步為止 ZAP 給出的風(fēng)險(xiǎn)項(xiàng)分析和報(bào)告吃粒,已經(jīng)可以一定程度滿足要求了拒课。
通過(guò)主菜單 Report 選項(xiàng)徐勃,可以選擇輸出 HTML、XML 等多種格式安全性測(cè)試報(bào)告早像。
