OWASP ZAP使用指南

OWASP ZAP是世界上最受欢迎的免费安全工具之一。是一款web application 集成渗透测试和漏洞工具。它可以帮助我们自动发现Web应用程序中的安全漏洞。

安装

在新版的kali中，此工具已经移除了。如需安装我们需要执行下面命令进行安装。

apt-get install zaproxy

启动

我们只需只需zaproxy命令或者在菜单搜索zap即可运行程序。

启动ZAP时，会弹出弹窗提示是否要保留会话。

前两项表示需要保存会话，勾选第三项则为不保存会话。

界面介绍

• 菜单栏，可进行文件、会话等的导入导出，视图设置，扫描策略分析，报告生成等等。
• 工具栏，可快速保存当前会话，设置界面布局，打开代理浏览器，生成报告等。
• 下文及站点分布，双击“Default Content”可进行Session属性的配置，站点显示捕获到的URL，点击具体的请求则右边对应显示请求和响应的数据。
• 含快速启动，请求和响应展示区。快速启动可选择自动扫描或手动探测。
• 史访问记录，可按指定条件筛选展示，Alerts下记录扫描探测发现的漏洞问题。当执行扫描时，会显示扫描进度。

快速开始

选择快速开始，输入目标域名然后点击attack即可。等待扫描完成后，我们只需在下方看到相关的漏洞信息。

导出报告

在工具栏点击Generate Report（或者点击菜单栏的Report->Generate Report）进入生成报告界面，报告标题、报告名称、报告保存路径填写完成之后，点击Generate Report按钮即可生成报告。

拦截修改数据包

和burp类似，我们利用zap也可以对当前的数据包进行修改。在站点或者历史访问记录选中任一请求，右键选择Open/Resend with Request Editor进入重放请求编辑界面，修改请求头/参数之后点击Send完成重放请求。

密码破解

我们通过代理抓到登录请求之后，在Request区域右键选择Fuzz进入爆破设置界面，选中需要参数化的部分，点击Add进入设置爆破内容，点击Start Fuzzer开始执行爆破。

玩法和burp的暴力破解模块类似。

最后由于微信的改版。表哥希望大家点击公众号右上角的...设置为星标。第一时间获得推文更新！（这里大表哥跪下求你了!）