OWASP ZAP安全测试--使用（代理设置、简单攻击）

可以说：ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具

一、代理设置：

1、给firefox 浏览器设置http代理（也可以是其他浏览器）,如下图，owasp zap默认使用8080端口开启http代理；

 

 

 

 2、如果你想修改owasp zap默认的代理，owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改：

 

  二、简单攻击

代理设置问后我们再去火狐浏览器上随意访问任何网站，都可以截取到访问的网址，从而实现攻击。

攻击是需要有步骤的：

1、：手动爬行网站后，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory（and children）。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取（你也可以自定义字典）。

 

 以上的目的是尽量的爬行出网站的所有链接页面！

 2、：以上工作做完以后，就可以选择该站点进行active scan（主动扫描）

 

 

 

 主动扫描上面有一些相关 设置，例如：信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置，不是很了解的朋友们只需要用默认的即可！

 3、：主要就是查看扫描结果，主动扫描后，针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题，主要查看高危和中危漏洞，查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

 

 

如果你想验证该漏洞的真实有效性，你可以选择该漏洞点进行相应安全工具再进一步的测试！

 4、persist session结果保存

【文件】-【persist session】，该功能主要保存“扫描分析的结果”,方便下次继续分析！

 

 

 5、扫描模式

主要有4中扫描模式：安全模式、保护模式、标准模式、攻击模式；

owasp zap默认用的是标准模式，你可以在【编辑 】- 【ZAP Mode】中选择你想要的模式。

 

6、扫描策略

有两个地方可以添加扫描策略 （1）【分析】-【扫描策略】，（2）设置按钮

 

• Policy：扫描策略名称，需要填写
• Default Alert Threshold：告警阀值，有low、medium、high，阀值越高owasp zap扫描爆出的漏洞数就越少，阀值越高owasp zap就只爆出确认的漏洞高的。
• Default Attack Strength：攻击强度，有low、medium、high、insane，强度越高，扫描速度越快
• Apply xx Threshold to All：把告警阀xx值给所有扫描插件，点击go 生效
• Apply xx Strength to All：把扫描强度xx应用给所有扫描插件，点击go 生效

 

7、扫描时跳过某个插件扫描

在【扫描监控】中，点击旁边的蓝色按钮，可跳过该插件的检测！

 

 

8、CSRF Tokens设置

部分网站有防止csrf的token，无法正常提供token网站会重定向，可以通过owasp zap 的anti csrf tokens功能来添加该网站的token名称，告知owasp zap。

 

在【设置】-【Anti CSRF Tokens】里添加。

9、设置代理后，https网站证书不受信任问题

owasp zap 进行代理时，浏览器访问https的网站，owasp zap使用自己的证书与浏览器建立ssl连接，由于owasp zap证书不受信任，因此需要把owasp zap的证书手动导出（cer格式的证书），导入到浏览器中即可！

 

导出owasp zap的证书的方法【设置】-【Dynamic SSL Certificates】；

10、contexts／scope 站点过滤

该功能可快速的定位自己关心的站点；

 

11、session properties

owasp zap 扫描站点的所有session结果都保存在session properties 中，默认是手动通过浏览器填写账号密码来记录session；

 

12、http session

owasp zap 默认有如下的字段名，如果网站中有其他自定义的session名，需要自己添加进来；

查看http session的值；

13、编码解码工具

【工具】-【编码解码哈希】

 

 

14、爬行useragent设置

【设置】-【connection】

 

 

15、fuzzer模糊测试（漏洞检查工具）

直接右键需要fuzzer的http包，选择fuzzer，选中需要fuzzer的值，添加payload；

这里以sql注入的fuzzer为例，选择一个参数值，点击add，选择fuzzer的类型；

 

再查看fuzzer的测试结果;

 

16、代理截断

owasp zap默认使用8080代理，截断默认关闭，要启动阶段需要点击。

 

owasp zap截断功能响应太慢，没burpsuit的好用！

 

---

注意：

kali linux新版本的OWASP_ZAP如果你不是很了解的话，或许你的“站点”这里并不能显示你浏览过的网站。OWASP_ZAP设置代理后，“站点”这里显示不出任何网站解决方法如下：

 

 

转载链接：https://blog.csdn.net/wxh0000mm/article/details/104450024