您现在的位置是:首页 > 正文

Web安全—Web漏扫工具OWASP ZAP安装与使用

2024-02-01 03:37:23阅读 1

本文仅用于安全学习使用!切勿非法用途。

一、OWASP ZAP简介

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站:

https://www.zaproxy.org/download/

二、OWASP ZAP安装

① ZAP支持在Windows、Linux、MacOS等平台上运行,可以在官网直接下载数据包,Windows和Linux版本需要运行Java 8或更高版本。
在这里插入图片描述

② Kali Linux系统中,内置了ZAP软件,可直接使用:
在这里插入图片描述

三、OWASP ZAP使用

  • 保持会话

保存会话会将会话结果记录到数据库中,不保存则会在退出ZAP时被删除。
在这里插入图片描述

  • 用户界面
    在这里插入图片描述

  • 自动扫描
    点击“快速开始”–>“Automated Scan”,输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。
    在这里插入图片描述

  • 扫描结果
    点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:
    在这里插入图片描述

扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情:
在这里插入图片描述

  • 手动探索
    在快速开始界面,点击“Manual Explore”手动探索,输入要探索的Web应用程序的URL,选择需要使用的浏览器,点击启动浏览器:
    在这里插入图片描述

ZAP提供了HUD功能,是一种可以直接在浏览器中访问ZAP的 功能,可以在访问Web时,提供关键的安全信息和功能:
在这里插入图片描述

此时便可与浏览器交互登录等操作的同时,ZAP进行同步探索:
在这里插入图片描述

点击不同的页面,右下角会弹出已扫描出的漏洞告警。
在这里插入图片描述

将页面尽可能遍历后,查看站点树,会将有警报的站点标识出来:
在这里插入图片描述

  • 单目标攻击
    右键站点树的某个子路径,可对单个目标进行“攻击”:
    在这里插入图片描述

使用“爬行”、“强制浏览网站”、“强制浏览目录”、“强制浏览目录和子页面”将页面路径记录的更全,然后再使用“主动扫描”等其他方式进行进一步的测试。

  • 生成报告
    所有扫描完成后,点击“报告”,生成HTML报告:
    在这里插入图片描述
    在这里插入图片描述

网站文章

  • Linux上天之路(二)之Linux安装

    Linux上天之路(二)之Linux安装

    1. vmware workstation使用VMware是全球领先的虚拟化公司,为客户提供虚拟化解决方案,个人虚拟化产品workstation,可以让用户通过虚拟化的方式在一台物理电脑中安装多个操作系统。且多个虚拟机直接是彼此隔离的,安全有保障。物料准备:workstation-X.exe打开虚拟机,点击 主页 选项卡中的 创建新的虚拟机。菜鸟选择典型,高手选择自定义。我选择的典...

    2024-02-01 03:36:57
  • 关于Curator学习过程问题 热门推荐

    今天在学习Curator框架,查询了很多别人的例子照写都报错。然后上Curator(http://curator.apache.org/index.html)官网去看example,还是不行,一直报这个错。百思不得其解。 18:08:45.069 [main] WARN o.a.c.retry.ExponentialBackoffRetry - maxRetries too lar

    2024-02-01 03:36:52
  • 方久乐基于EAS MES生产执行系统构建安全气囊的精益化生产和全过程质量追溯

    方久乐基于EAS MES生产执行系统构建安全气囊的精益化生产和全过程质量追溯

    一、概述 东方久乐(集团)有限公司由上海东方久乐汽车安全气囊有限公司和石家庄久乐汽车安全设备有限公司组成,是国内最早开拓汽车安全气囊领域,拥有全部自主知识产权,集科研、生产、销售、服务为一体的集团公司。拥有资产近8亿人民币,...

    2024-02-01 03:36:45
  • TCP窗口拥塞控制:

    TCP窗口拥塞控制:

    拥塞控制用于防止由于过多的报文进入网络,而造成路由器与链路过载。①流量控制可以很好地解决发送端与接收端之间的端-端报文发送和处理速度的协调,但是无法控制进入网络的总体流量。如果每个发送端与接收端的端-...

    2024-02-01 03:36:15
  • TSP的各类算法总结

    TSP Algorithm Selection (tspalgsel.github.io)

    2024-02-01 03:36:07
  • 泛微e-office文件上传漏洞(CNVD-2021-49104)

    泛微e-office文件上传漏洞(CNVD-2021-49104)

    漏洞描述 由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 FOFA 语法 app="泛微-EOffice&quot...

    2024-02-01 03:36:01
  • 计算机视觉专业研究生学费,2020年伦敦大学学院计算机图形学、视觉与成像专业硕士申请条件-学费-世界排名...

    1.选修课:Machine Vision:计算机视觉Graphical Models:图像建模Virtual Environments:虚拟环境Geometry of Images:图像几何学Adva...

    2024-02-01 03:35:54
  • POJ2386 Lake Counting【DFS、BFS】

    Description Due to recent rains, water has pooled in various places in Farmer John's field, whic...

    2024-02-01 03:35:26
  • 1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)

    1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)

    本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............

    2024-02-01 03:35:19
  • vue-print-nb 组件打印网页

    vue-print-nb 组件打印网页

    一、安装组件npm install vue-print-nb --save二、引入组件import Print from "vue-print-nb";import Vue from "vue";Vu...

    2024-02-01 03:35:10