工具介紹
OWASP Zed attack proxy 是一款 web application 集成滲透測試和漏洞工具,同樣是免費開源跨平臺的徙硅。
OWASP_ZPA 支持截斷代理,主動负敏、被動掃描吼过,F(xiàn)uzzy骂束,暴力破解并且提供 API。
OWASP_ZPA 是Kali Web Top 10 之一辅鲸。
參考OWASP測試指南
下載安裝
1格郁、網(wǎng)上下載版本:ZAP_2_7_0_windows
2、參考下載網(wǎng)址:https://github.com/zaproxy/zaproxy/wiki/Downloads
3独悴、傻瓜式安裝例书,語言選擇英文即可安裝成功
image.png
測試使用
1、打開ZAP刻炒,設(shè)置進程
首次打開ZAP時决采,會詢問是否要保存ZAP進程,以及如何保存坟奥。
image.png
保存進程可以讓歷史操作得到保留树瞭,下次只要打開歷史進程就可以找到之前掃描過的站點以及測試結(jié)果等。
一般來說爱谁,如果對固定產(chǎn)品做定期掃描晒喷,應(yīng)該保存一個進程做為長期使用,選第一或者第二個選項都可以访敌。如果只是想先簡單嘗試ZAP功能凉敲,可以選擇第三個選項,那么當前進程暫時不會被保存寺旺。
image.png
2爷抓、設(shè)置代理
打開設(shè)置選項Options,設(shè)置代理信息,如未修改阻塑,且默認端口被占用蓝撇,每次打開ZAP會提示不能監(jiān)聽8080端口,本測試中叮姑,端口修改為6070唉地,即ZAP的地址和端口是localhost:6070
image.png
image.png
3、打開瀏覽器传透,設(shè)置代理服務(wù)耘沼,將端口設(shè)置和ZAP一致
image.png
4、設(shè)置完成后朱盐,在待測訪問頁面群嗤,可以通過ZAP進行抓包、分析兵琳、滲透性測試等
1)主動爬取網(wǎng)站
ZAP和瀏覽器配置一致代理情況下狂秘,使用瀏覽器進行任何站點的訪問都會經(jīng)過ZAP骇径,context記錄里留下該站點記錄
image.png
右鍵點擊需要測試的站點,選擇攻擊-爬行者春,彈出窗口點擊Start Scan破衔,開始手動爬取網(wǎng)站
image.png
image.png
2)主動掃描
右鍵點擊需要測試的站點,選擇攻擊-Active Scan钱烟,觸發(fā)主動掃描
image.png
image.png
掃描完畢后晰筛,同樣可以切換到“警報”界面,查看安全風險項拴袭,或者輸出測試報告读第。
3)Fuzzer
右鍵點擊需要測試的站點,選擇攻擊- Fuzzer拥刻,當然也可以通過菜單欄工具設(shè)置
image.png
可以參考學習http://www.reibang.com/p/78d7d4ad8054
5怜瞒、快速滲透測試:輸入網(wǎng)址,點擊攻擊
image.png
快速攻擊過程中般哼,ZAP執(zhí)行如下操作:
1)使用爬蟲抓取被測網(wǎng)站的所有頁面
2)在頁面抓取的過程中被動掃描所有獲得的頁面
3)抓取完畢后用主動掃描的方式分析頁面吴汪,功能和參數(shù)
6、結(jié)果分析
image.png
由上到下分別為:高逝她、中浇坐、低、信息黔宛、通過
在窗口最底部近刘,切換至警報頁面,可以看到所有掃描出的安全性風險(圖示警告位置)臀晃,且所有風險項可以展開觉渴,ZAP在右側(cè)窗口會對該風險項提供說明和解釋
并且在右上部response區(qū)域高亮展示具體風險項由來(從反饋中分析得出的)
image.png
image.png
通過點擊菜單欄報告-輸出HTML、XML等多種格式安全性測試報告
image.png
7徽惋、其他
安全滲透測試流程規(guī)范可參考http://www.reibang.com/p/d41310082f38
image.png
SQL注入測試可參考http://www.reibang.com/p/3749cec2a969
其他工具或內(nèi)容可參考
企業(yè)不可不知的信息安全工具
排名前5的5個漏洞掃描程序【安全人員的福音】
最新調(diào)查:10類排名最高的軟件安全性測試工具匯總
滲透測試員必備案淋!超好用的安全工具Top 10盤點!
OWASP示例
OWASP_ZAP
跨站點 WebSocket 劫持漏洞
為什么不推薦去做安全測試工程師险绘?
