一、安裝
Windows下載下來的是exe的,雙擊就可以了!
Linuxg下載下來的不是.sh就是tar.gz,這個就更加簡單了。
唯一需要注意的是:
Windows和Linux版本需要運行Java 8或更高版本JDK,MacOS安裝程序包括Java 8;
二、使用
1、初步使用ZAP
進程保留:
初次打開ZAP時,會看到以下對話框,詢問是否要保持ZAP進程。
保存進程則可以讓你的操作得到保留,下次只要打開歷史進程就可以取到之前掃描過的站點以及測試結果等。
一般來說,如果對固定的產品做定期掃描,應該保存一個進程做為長期使用,選第一或者第二個選項都可以。
如果只是想先簡單嘗試ZAP功能,可以選擇第三個選項,那么當前進程暫時不會被保存。
設置代理:
打開ZAP以后看到的是如下界面:
在開始使用他進行滲透測試之前,如前文所述,首先需要將他設為我們的瀏覽器代理。
ZAP的默認地址和端口是標准的localhost:8080,如下圖:
如果端口可用,接下來我們只需要去修改瀏覽器代理,以火狐為例:
在設置-常規-連接設置里,選擇手動代理,並將http代理設為與ZAP一致:
完成這一設置以后,我們再用這個瀏覽器去訪問站點時,都會通過ZAP這個中間人,於是這就給ZAP提供了抓包、分析、滲透測試的可能性。
快速測試:
ZAP右上方區域是快速測試窗口,可以開啟非常傻瓜式的滲透測試:
輸入網址,點擊‘Attack’,搞定,so easy。
在快速攻擊過程中,ZAP做了以下幾件事:
使用爬蟲抓取被測站點的所有頁面
在頁面抓取的過程中被動掃描所有獲得的頁面
抓取完畢后用主動掃描的方式分析頁面,功能和參數
結果分析:
等待上述快速測試完成以后,我們就可以拿到ZAP提供的測試結果進行分析。
快速測試中,ZAP會產出以下一些產物:
被測站點地圖及頁面資源
所有請求、反饋記錄
安全性風險項目列表
其中我們最關注的當然是安全性風險項,ZAP將做出以下標識:
由上到下分別為:高、中、低、信息、通過
在窗口最底部,切換到Alert界面,可以看到所有掃描出的安全性風險:
其中的所有風險項可以展開,ZAP在右側窗口會對該風險項提供說明和解釋,並且在右上部response區域高亮展示具體風險項由來(從反饋中分析得出的)。
如果只是簡單的安全性測試需求,或者只是為了學習安全性測試知識,到這一步為止ZAP給出的風險項分析和報告,已經可以一定程度滿足要求了。
通過主菜單Report選項,可以選擇輸出HTML、XML等多種格式安全性測試報告。
主動爬取網站
之前介紹了使用ZAP做為瀏覽器代理,配置好代理的情況下,使用瀏覽器進行任何站點的訪問都會經過ZAP,這時就會在ZAP的context記錄里留下該站點記錄,如圖:
右鍵點擊需要測試的站點,選擇Attack->Spider,彈出的選項窗口點擊Start Scan,則會開始手動爬取網站。
主動掃描
與節操作類似,右鍵點擊目標站點,選擇Attack->Active Scan,就可以觸發主動掃描:
掃描完畢后,同樣可以切換到Alert界面,查看安全風險項,或者輸出測試報告。
關於ZAP的入門使用就介紹到這里,學會以上使用技巧,就已經可以應付初級的安全測試需求了。
2、更新
由於owasp zap 官方不定期的會更新zap插件和zap版本,我們可以通過手動更新的方式如下:
如果你想更新單個,你可以這樣:后面如果出現【更新】的字樣的話,可以選擇后【update selected】更新即可!
Marketplace為插件市場,是選擇性安裝的插件。主要分為一下3類的插件:
- release:為經過長期驗證比較成熟的插件
- beta:為正在測試測試中的插件,可能會出現問題
- alpha:比beta更加低的測試版插件
建議release和beta版的都安裝上,alpha版本的可選擇性安裝
3、本地代理設置
給firefox 瀏覽器設置http代理(也可以是其他瀏覽器),owasp zap默認使用8080端口開啟http代理;
如果你想修改owasp zap默認的代理,owasp zap的代理設置可在【工具】-【選項】-【本地代理】中修改:
4、簡單攻擊
然后我們再去火狐瀏覽器上隨意訪問任何網站,都可以截取到訪問的網址,從而實現攻擊。
攻擊是需要有步驟的:
首先:手動爬行網站后,選擇該站點進行owsap zap的強制瀏覽網站、強制瀏覽目錄、forced browse directory(and children)。
owasp zap的強制目錄瀏覽選擇使用owasp zap自帶的directory-list-1.0.txt 目錄字典進行嘗試爬取(你也可以自定義字典)。
以上的目的是盡量的爬行出網站的所有鏈接頁面!
其次:以上工作做完以后,就可以選擇該站點進行active scan(主動掃描)
主動掃描上面有一些相關 設置,例如:信息收集、客戶商和器、服務器安全、注入等。如果你有一定基礎可以去設置,不是很了解的朋友們只需要用默認的即可!
最后:主要就是查看掃描結果,主動掃描后,針對掃描的結果【警告】菜單欄查看每一項看是否真的存在相應的問題,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的語句即 attack后服務器返回的結果。
如果你想驗證該漏洞的真實有效性,你可以選擇該漏洞點進行相應安全工具再進一步的測試!
5、persist session結果保存
【文件】-【persist session】,該功能主要保存“掃描分析的結果”,方便下次繼續分析!
6、掃描模式
主要有4中掃描模式:安全模式、保護模式、標准模式、攻擊模式;
owasp zap默認用的是標准模式,你可以在【編輯 】- 【ZAP Mode】中選擇你想要的模式。
7、掃描策略
有兩個地方可以添加掃描策略 (1)【分析】-【掃描策略】,(2)設置按鈕
掃描策略你可以自己隨意設置的!如果不懂就用默認的吧!
- Policy:掃描策略名稱,需要填寫
- Default Alert Threshold:告警閥值,有low、medium、high,閥值越高owasp zap掃描爆出的漏洞數就越少,閥值越高owasp zap就只爆出確認的漏洞高的。
- Default Attack Strength:攻擊強度,有low、medium、high、insane,強度越高,掃描速度越快
- Apply xx Threshold to All:把告警閥xx值給所有掃描插件,點擊go 生效
- Apply xx Strength to All:把掃描強度xx應用給所有掃描插件,點擊go 生效
8、掃描時跳過某個插件掃描
在【掃描監控】中,點擊旁邊的藍色按鈕,可跳過該插件的檢測!
9、CSRF Tokens設置
部分網站有防止csrf的token,無法正常提供token網站會重定向,可以通過owasp zap 的anti csrf tokens功能來添加該網站的token名稱,告知owasp zap。
在【設置】-【Anti CSRF Tokens】里添加。
10、設置代理后,https網站證書不受信任問題
owasp zap 進行代理時,瀏覽器訪問https的網站,owasp zap使用自己的證書與瀏覽器建立ssl連接,由於owasp zap證書不受信任,因此需要把owasp zap的證書手動導出(cer格式的證書),導入到瀏覽器中即可!
導出owasp zap的證書的方法【設置】-【Dynamic SSL Certificates】;
11、contexts/scope 站點過濾
該功能可快速的定位自己關心的站點;
session properties
owasp zap 掃描站點的所有session結果都保存在session properties 中,默認是手動通過瀏覽器填寫賬號密碼來記錄session;
12、http session
owasp zap 默認有如下的字段名,如果網站中有其他自定義的session名,需要自己添加進來;
查看http session的值;
13、編碼解碼工具
【工具】-【編碼解碼哈希】
14、爬行useragent設置
【設置】-【connection】
15、fuzzer模糊測試(漏洞檢查工具)
直接右鍵需要fuzzer的http包,選擇fuzzer,選中需要fuzzer的值,添加payload;
這里以sql注入的fuzzer為例,選擇一個參數值,點擊add,選擇fuzzer的類型;
再查看fuzzer的測試結果;
16、代理截斷
owasp zap默認使用8080代理,截斷默認關閉,要啟動階段需要點擊。