当前位置:首页 » 《资源分享》 » 正文

Web漏扫工具OWASP ZAP安装与使用(非常详细)从零基础入门到精通,看完这一篇就够了。

3 人参与  2024年03月30日 16:45  分类 : 《资源分享》  评论

点击全文阅读


本文仅用于安全学习使用!切勿非法用途。

一、OWASP ZAP简介

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站:

https://www.zaproxy.org/download/

二、OWASP ZAP安装

① ZAP支持在Windows、Linux、MacOS等平台上运行,可以在官网直接下载数据包,Windows和Linux版本需要运行Java 8或更高版本。
在这里插入图片描述

② Kali Linux系统中,内置了ZAP软件,可直接使用:
在这里插入图片描述

三、OWASP ZAP使用

保持会话

保存会话会将会话结果记录到数据库中,不保存则会在退出ZAP时被删除。
在这里插入图片描述

用户界面
在这里插入图片描述

自动扫描
点击“快速开始”–>“Automated Scan”,输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。
在这里插入图片描述

扫描结果
点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:
在这里插入图片描述

扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情:
在这里插入图片描述

手动探索
在快速开始界面,点击“Manual Explore”手动探索,输入要探索的Web应用程序的URL,选择需要使用的浏览器,点击启动浏览器:
在这里插入图片描述

ZAP提供了HUD功能,是一种可以直接在浏览器中访问ZAP的 功能,可以在访问Web时,提供关键的安全信息和功能:
在这里插入图片描述

此时便可与浏览器交互登录等操作的同时,ZAP进行同步探索:
在这里插入图片描述

点击不同的页面,右下角会弹出已扫描出的漏洞告警。
在这里插入图片描述

将页面尽可能遍历后,查看站点树,会将有警报的站点标识出来:
在这里插入图片描述

单目标攻击
右键站点树的某个子路径,可对单个目标进行“攻击”:
在这里插入图片描述

使用“爬行”、“强制浏览网站”、“强制浏览目录”、“强制浏览目录和子页面”将页面路径记录的更全,然后再使用“主动扫描”等其他方式进行进一步的测试。

生成报告
所有扫描完成后,点击“报告”,生成HTML报告:
在这里插入图片描述
在这里插入图片描述

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里?网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析


点击全文阅读


本文链接:http://zhangshiyu.com/post/88265.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1