OWASP ZAP是世界上最受欢迎的免费安全工具之一。是一款web application 集成渗透测试和漏洞工具。它可以帮助我们自动发现Web应用程序中的安全漏洞。
安装
在新版的kali中,此工具已经移除了。如需安装我们需要执行下面命令进行安装。
apt-get install zaproxy
启动
我们只需只需zaproxy命令或者在菜单搜索zap即可运行程序。
启动ZAP时,会弹出弹窗提示是否要保留会话。
前两项表示需要保存会话,勾选第三项则为不保存会话。
界面介绍
-
菜单栏,可进行文件、会话等的导入导出,视图设置,扫描策略分析,报告生成等等。 -
工具栏,可快速保存当前会话,设置界面布局,打开代理浏览器,生成报告等。 -
下文及站点分布,双击“Default Content”可进行Session属性的配置,站点显示捕获到的URL,点击具体的请求则右边对应显示请求和响应的数据。 -
含快速启动,请求和响应展示区。快速启动可选择自动扫描或手动探测。 -
史访问记录,可按指定条件筛选展示,Alerts下记录扫描探测发现的漏洞问题。当执行扫描时,会显示扫描进度。
快速开始
选择快速开始,输入目标域名然后点击attack即可。等待扫描完成后,我们只需在下方看到相关的漏洞信息。
导出报告
在工具栏点击Generate Report(或者点击菜单栏的Report->Generate Report)进入生成报告界面,报告标题、报告名称、报告保存路径填写完成之后,点击Generate Report按钮即可生成报告。
拦截修改数据包
和burp类似,我们利用zap也可以对当前的数据包进行修改。在站点或者历史访问记录选中任一请求,右键选择Open/Resend with Request Editor进入重放请求编辑界面,修改请求头/参数之后点击Send完成重放请求。
密码破解
我们通过代理抓到登录请求之后,在Request区域右键选择Fuzz进入爆破设置界面,选中需要参数化的部分,点击Add进入设置爆破内容,点击Start Fuzzer开始执行爆破。
玩法和burp的暴力破解模块类似。
最后由于微信的改版。表哥希望大家点击公众号右上角的...设置为星标。第一时间获得推文更新!(这里大表哥跪下求你了!)
更多精彩文章 欢迎关注我们
原文始发于微信公众号(kali黑客笔记):OWASP ZAP使用指南
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/152578.html
