安全测试全面总结-工具1-OWASP-ZAP工具使用

OWASP ZAP简介

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目，也是旗舰项目，全称是OWASP Zed attack proxy，是一款web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。
ZAP是一个中间人代理，浏览器与服务器的任何交互都将经过ZAP，ZAP则可以通过对其抓包进行分析、扫描。

ZAP工具安装

ZAP官方网站：
https://www.zaproxy.org/download/

OWASP ZAP安装
① ZAP支持在Windows、Linux、MacOS等平台上运行，可以在官网直接下载数据包，Windows和Linux版本需要运行Java 8或更高版本。
② Kali Linux系统中，内置了ZAP软件，可直接使用：

OWASP ZAP使用

规则
输入网站可以自动化扫描
不要随便使用第三方的扫描工具，扫描别人的网站，这是有法律风险的，别人可以告你的
我们可以使用dvwa搭建的安全测试环境来做测试

保持会话

保存会话会将会话结果记录到数据库中，不保存则会在退出ZAP时被删除。

第一种，自动化扫描

但是这种扫描出来的有限，因为系统登陆进进不去，

第二种，手动引导

会启动一个浏览器， 会打开我们的目标网站，然后就可以输入账号密码登陆了， 然后浏览器所有的返回都可以拿到，实际是对浏览器加了一个代理， 通过这种方式，可以登陆网站，这样可以扫描更深入的漏洞 如果打开浏览器闪退，那就是浏览器驱动有问题，

1.查看Chrome浏览器版本

2.下载对应版本的驱动：http://chromedriver.storage.googleapis.com/index.html

3.将驱动放到ZAP的selenium文件夹中，并在ZAP工具中指向该驱动
通过下面的路径更换驱动，

然后我们使用左侧，右键，就可以选择自动扫描了 需要配置一些内容 通过配置，可以实现更智能的扫描， 使用比较简单， 这个扫描是动态的，可以输入一些恶意的数据，看看是否有漏洞， 和进行接口测试差不多

如何判定是一个漏洞，这个规则是扫描工具是最宝贵的

这实际是一个经验库，规则库，然后不断的积累，开发，让这个工具更加的强大，

这个工具还是需要搞一搞的