【知识科普】安全测试OWASP ZAP简介

2020-06-17 16:20:53 浏览数 (1)

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。

项目种类

因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响,现在OWASP每年超过600W访问者,拥有了93个活跃项目。在OWASP的官网中所有的项目主要分为了三种:

Tool Projects(工具类项目):工具类项目提供了各种各样的安全扫描工具,ZAP就是其中之一。

Documentation Projects(文档类项目):文档类项目提供的是安全扫描的各种文档类指导。

Code Projects(代码类项目):代码类项目则是OWASP维护的开源工具代码。

什么是ZAP

ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。

ZAP主要覆盖了安全性测试里的渗透测试,即对系统进行模拟攻击和分析来确定其安全性漏洞。ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。

同时,ZAP适用于所有的操作系统和Docker的版本,而且简单易用,还拥有强大的社区,能够在互联网上找到多种额外的功能插件。介绍完这么多,我们来看一下ZAP的基本功能。

ZAP的基本功能

在https://www.zaproxy.org/ ZAP官方网站下载完对应操作系统的客户端后,傻瓜式一键安装,我们便可以使用ZAP了。

ZAP提供了两种扫描方式,Automated Scan(自动扫描)Manual Explore(手动扫描),如下图:

自动扫描,我们只要输入需要渗透的网址,以及Traditional Spider(抓取WEB程序中的HTML资源)和Ajax Spider(适用于有比较多Ajax请求的WEB程序)两个选项按钮,他就能开始检测我们的目标网址,并产生报告,如下:

我们还能在警报处看到对应的告警及建议坚决方案:

对于手动扫描而言,你需要选择渗透的网站和启动的浏览器,当你选择完后,会启动该网站的浏览器,并拥有ZAP的各种测试工具。

在这个特定的浏览器里,你能够开启、关闭扫描,查看报告,查看告警等多种功能。在所有的扫描中ZAP主要做了以下几件事:

  • 使用爬虫抓取被测站点的所有页面;
  • 在页面抓取的过程中被动扫描所有获得的页面;
  • 抓取完毕后用主动扫描的方式分析页面,功能和参数。

其他功能

在执行完渗透扫描后,ZAP还能提供多种形式的报告,包括XML、HTML、Markown、JSON格式,方便基于数据去做二次开发。在HTML报告中,能清晰的看到所有的告警描述、告警地址、请求方法、解决方案等信息,方便指导安全人员,开发人员解决告警。

另外ZAP还能基于JSON、Script、表单等方式进行鉴权,来扫描一些必须要登录才能扫描的网站。可以通过导入证书访问不受信任的https网站,可以设置网络代理来实现不同网络的访问,还可以设置CSRF Token来添加一些有防止CSRF的网站阻止访问。这也就是为什么ZAP是可以从新手到安全专家都能使用的安全渗透工具。

0 人点赞