安全性测试:OWASP ZAP使用入门指南

admin 2023年5月29日09:12:54评论19 views字数 1465阅读4分53秒阅读模式

####################
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
####################

 ZAP下载

下载地址:github: https://github.com/zaproxy/zaproxy/wiki/Downloads

现在的稳定版本是2.7.0版,推荐下载windows64位安装包来初试安全性扫描机制。

 

ZAP安装

本文推荐的windows64位版的ZAP安装非常简单,跟普通的安装程序过程没有太大不同,本文不再赘述。

 

初步使用ZAP

进程保留:

初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程。

保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果等。

一般来说,如果对固定的产品做定期扫描,应该保存一个进程做为长期使用,选第一或者第二个选项都可以。

如果只是想先简单尝试ZAP功能,可以选择第三个选项,那么当前进程暂时不会被保存。

安全性测试:OWASP ZAP使用入门指南

 

设置代理:

打开ZAP以后看到的是如下界面:

安全性测试:OWASP ZAP使用入门指南

在开始使用他进行渗透测试之前,如前文所述,首先需要将他设为我们的浏览器代理。

ZAP的默认地址和端口是标准的localhost:8080,如下图:

安全性测试:OWASP ZAP使用入门指南

如果端口可用,接下来我们只需要去修改浏览器代理,以火狐为例:

在设置-常规-连接设置里,选择手动代理,并将http代理设为与ZAP一致:

安全性测试:OWASP ZAP使用入门指南

完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。

 

快速测试:

ZAP右上方区域是快速测试窗口,可以开启非常傻瓜式的渗透测试:

安全性测试:OWASP ZAP使用入门指南

输入网址,点击‘Attack’,搞定,so easy。

在快速攻击过程中,ZAP做了以下几件事:

  • 使用爬虫抓取被测站点的所有页面

  • 在页面抓取的过程中被动扫描所有获得的页面

  • 抓取完毕后用主动扫描的方式分析页面,功能和参数

 

结果分析:

等待上述快速测试完成以后,我们就可以拿到ZAP提供的测试结果进行分析。

快速测试中,ZAP会产出以下一些产物:

  • 被测站点地图及页面资源

  • 所有请求、反馈记录

  • 安全性风险项目列表

其中我们最关注的当然是安全性风险项,ZAP将做出以下标识:

安全性测试:OWASP ZAP使用入门指南

由上到下分别为:高、中、低、信息、通过

在窗口最底部,切换到Alert界面,可以看到所有扫描出的安全性风险:

安全性测试:OWASP ZAP使用入门指南

其中的所有风险项可以展开,ZAP在右侧窗口会对该风险项提供说明和解释,并且在右上部response区域高亮展示具体风险项由来(从反馈中分析得出的)。

 

如果只是简单的安全性测试需求,或者只是为了学习安全性测试知识,到这一步为止ZAP给出的风险项分析和报告,已经可以一定程度满足要求了。

通过主菜单Report选项,可以选择输出HTML、XML等多种格式安全性测试报告。

 

主动爬取网站

之前介绍了使用ZAP做为浏览器代理,配置好代理的情况下,使用浏览器进行任何站点的访问都会经过ZAP,这时就会在ZAP的context记录里留下该站点记录,如图:

安全性测试:OWASP ZAP使用入门指南

右键点击需要测试的站点,选择Attack->Spider,弹出的选项窗口点击Start Scan,则会开始手动爬取网站。

 

主动扫描

与节操作类似,右键点击目标站点,选择Attack->Active Scan,就可以触发主动扫描:

安全性测试:OWASP ZAP使用入门指南

扫描完毕后,同样可以切换到Alert界面,查看安全风险项,或者输出测试报告。



原文始发于微信公众号(菜鸟小新):安全性测试:OWASP ZAP使用入门指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日09:12:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全性测试:OWASP ZAP使用入门指南https://cn-sec.com/archives/1767934.html

发表评论

匿名网友 填写信息