1、安裝
網址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
步驟:安裝包正常安裝即可
2、使用:
來自:http://www.lybbn.cn/data/datas.php?yw=169
(1)啟動owasp zap,更新owasp zap的插件
在installed欄位,在更新列里有更新字樣的即為官網更新的插件,可以選中進行更新
在marketpace欄位,有release(較穩定)/Beta(已上線供市場檢測穩定性)/alpha(內測階段)版的插件可下載,建議可以下載release(較穩定)/Beta(已上線供市場檢測穩定性)插件,alpha可能會誤判
(2)給google瀏覽器設置http代理(也可以是其他瀏覽器),默認owasp zap使用8080端口開啟http和https代理
owasp zap 的代理設置可在【工具】-【選項】-【本地代理】中修改
(3)owasp zap 代理https網站證書不信任問題
owasp zap 進行代理時,瀏覽器訪問https的網站,owasp zap 使用自己的證書與瀏覽器建立ssl連接,由於owasp zap證書不受信任,因此需要把owasp zap的證書手動導出(cer格式的證書),導入到瀏覽器中即可
為啥要導入證書:https://github.com/fwon/blog/issues/38
處理方法:
A、導出owasp zap的證書的方法【設置】-【dynamic ssl certificates】
B、在瀏覽器里導入證書,以google瀏覽器為例子
瀏覽器設置-高級-證書管理,導入A中保存的證書,如下:
證書可能導入了之后還是顯示不信任,需要修改成信任
(4)設置好代理后,使用瀏覽器訪問需要審計的網站的每個頁面和頁面上的每一個功能,特別是一些表單的地方一定要提交一下,所有的功能都手動的嘗試一遍,所有的url鏈接手動全點一遍,所有的結果的包都被owasp zap截取下來
這里以 testphp.vulnweb.com 網站為例,此網站為awvs掃描器專用測試網站(此網站僅供學習使用,請勿非法攻擊)
點擊頁面上的每個鏈接和功能測試后,owasp zap 中會出現你每個訪問的過程和結果
(5)手動爬網后,選擇該站點進行owsap zap的自動爬網和forced browse site、forced browse directory、forced browse directory(and children)。owasp zap的強制目錄瀏覽選擇使用owasp zap自帶的directory-list-1.0.txt 目錄字典進行嘗試爬取(你也可以自定義字典)
以上的目的是盡量的爬行出測試網站的所有鏈接頁面
(5)以上工作做完以后,就可以選擇該站點進行主動掃描(active scan)
(6)主動掃描后,針對掃描的結果【警告】菜單欄查看每一項看是否真的存在相應的問題,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的語句即 attack后服務器返回的結果。
最后為驗證該漏洞的真實有效性,你可以選擇該漏洞點進行相應安全工具再進一步的測試