OWASP-ZAP
OWASP ZAP 是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。
也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应。
它即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。
扫描模式
safe mode 发现漏洞的数量最少,不会对目标的测试系统做任何破坏性操作(推荐) protected mode 发现的漏洞数量比safe模式多一点,可能测试系统造成破坏 standard mode 发现的漏洞数量比protected模式多一点, 可能对测试系统造成破坏(默认) attack mode 发现的漏洞数量最多,可能对测试系统造成破坏性最大
主要功能
本地代理 主动扫描 被动扫描 Fuzzy 暴力破解 虽然OWASP-ZAP拥有很多的功能,但是他最强大的功能还是主动扫描,可以自动对目标网站发起渗透测试,可以检测的缺陷包括路径遍历、文件包含、跨站脚本、sql注入等等。
代理
owasp zap 默认使用 8080 端口开启http代理,如果我们想修改其默认代理,在 【工具】- 【选项】- 【本地代理】 进行设置。 浏览器代理设置成和owasp zap一样即可。 访问目标项目地址zap就会拦截了。
网站证书不信任问题
owasp zap 进行代理时,浏览器访问不信任证书,需要在zap上导出证书,在导入浏览器。 导出owasp zap的证书的方法【设置】-【dynamic ssl certificates】。
强制浏览
owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取。 【选择强制浏览的地址】-【右击攻击】-【强制浏览网站或者强制浏览目录或者forced browse directory(and children)】。 以上的目的是尽量的爬行出测试网站的所有链接页面。
主动扫描
以上工作做完以后,就可以选择该站点进行主动扫描(active scan)。 【选择强制浏览的地址】-【右击攻击】-【主动扫描】。
扫描结果
主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。
最后为验证该漏洞的真实有效性,你可以选择该漏洞点进行相应安全工具再进一步的测试。
生成报告
【报告】-【HTML报告】。