OWASP ZAP(Zed Attack Proxy)是一個全能的 Web 安全測試工具矿卑。它包含以下功能:Proxy夷陋、被動和主動漏洞掃描器竞慢、Fuzzer落蝙、Spider织狐、HTTP Request Sender以及其它很多有趣的功能。這篇文章筏勒,我們將體驗 ZAP 最近剛剛加入的 “Forced Browse”移迫,是一款在 ZAP 中對 DirBuster 的實現(xiàn)功能。
實施步驟
首先管行,打開我們的漏洞靶機:Vulnerable_VM 【配置參見:測試環(huán)境搭建】
這里厨埋,我們需要 owasp-zap 成為瀏覽器的代理。
現(xiàn)在我們在 Kali 上打開 owasp-zap 軟件 (Applications -> 03 - Web Application Analysis -> owasp-zap)捐顷。
打開Iceweasel荡陷,Edit -> Preference -> Advanced -> Network -> Settings,如下圖:
在彈出的窗口配置代理迅涮,如下圖紅圈所示废赞,配置完后點擊 OK:
現(xiàn)在回到 oswasp-zap ,點擊 Tools -> Options -> Force Browse叮姑,然后點擊 Select File...
Kali 本身自帶一些詞匯清單唉地,這里我們選擇其中一個:
/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt
然后點擊 Open
點擊 OK ,退出 Options 對話框戏溺,下面渣蜗,打開瀏覽器,訪問:
http://192.168.150.143/WackoPicko/
這里旷祸,我們看到耕拷,在訪問 WackoPicko 站點的時候,ZAP 的 Sites 窗口以 Tree 視圖顯示了我們剛剛訪問的資源頁面:
現(xiàn)在托享,我們右擊 WackoPicko 目錄骚烧,選擇 Attack -> Forced Browse directory浸赫,然后 ZAP 的下方將出現(xiàn) Forced Browse 標簽頁,這里顯示掃描的進度和結(jié)果:
備注
Kali Linux 中另外一個很有用的代理是 BurpSuite赃绊。它里面有一個和 ZAP 的 Forced Browse 類似的功能叫做 Burp's Intruder既峡。BurpSuite 也是一個多功能的工具,有時間可以自己嘗試一下碧查。
