OWASP ZAP下載、安裝、使用(詳解)教程
OWASP Zed攻擊代理(ZAP)是世界上最受歡迎的免費安全審計工具之一,由數百名國際志願者*積極維護。它可以幫助您在開發和測試應用程序時自動查找Web應用程序中的安全漏洞。
也可以說:ZAP是一個中間人代理。它允許您查看您對Web應用程序發出的所有請求以及您從中收到的所有響應。
即可以用於安全專家、開發人員、功能測試人員,甚至是滲透測試入門人員。它也是經驗豐富的測試人員用於手動安全測試的絕佳工具。
主要擁有以下重要功能:
- 本地代理
- 主動掃描
- 被動掃描
- Fuzzy
- 暴力破解
一、OWASP ZAP 下載地址
github項目:https://github.com/zaproxy/zaproxy/wiki/Downloads
二、OWASP ZAP 安裝
安裝我就不多說了,它有Windows(64)安裝程序、 Windows(32)安裝程序、 Linux安裝程序、 MacOS安裝程序等。
Windows下載下來的是exe的,雙擊就可以了!
Linuxg下載下來的不是.sh就是tar.gz,這個就更加簡單了。
唯一需要注意的是:
Windows和Linux版本需要運行Java 8或更高版本JDK,MacOS安裝程序包括Java 8;
例如:今天一位網友在windows下載安裝啟動owasp-zap時,做出如下提示:
The install4j wizard could not find a Java(TM) Runtime Environment on your system. Please locate a suitable 64-bit JRE.(minimun version:1.8)
中文翻譯
install4j向導無法在系統上找到Java(TM)運行時環境。 請找到合適的64位JRE。(最小版本:1.8)
這位網友問我:我下載了java8並安裝了,但不知道為什么找不到java EXE?
我的回答是:java下載的不對,或沒成功安裝java;一定要下載、安裝Java JDK。
果然安裝JDK成功解決!
三、OWASP ZAP使用教程(詳解)
由於Kali Linux里面也集成了OWASP ZAP工具,我就拿Kali Linux里面的OWASP ZAP來做示例吧!
1、更新
由於owasp zap 官方不定期的會更新zap插件和zap版本,我們可以通過手動更新的方式如下:
如果你想更新單個,你可以這樣:后面如果出現【更新】的字樣的話,可以選擇后【update selected】更新即可!
Marketplace為插件市場,是選擇性安裝的插件。主要分為一下3類的插件:
- release:為經過長期驗證比較成熟的插件
- beta:為正在測試測試中的插件,可能會出現問題
- alpha:比beta更加低的測試版插件
建議release和beta版的都安裝上,alpha版本的可選擇性安裝!
2、本地代理設置
給firefox 瀏覽器設置http代理(也可以是其他瀏覽器),owasp zap默認使用8080端口開啟http代理;
如果你想修改owasp zap默認的代理,owasp zap的代理設置可在【工具】-【選項】-【本地代理】中修改:
3、簡單攻擊
然后我們再去火狐瀏覽器上隨意訪問任何網站,都可以截取到訪問的網址,從而實現攻擊。
攻擊是需要有步驟的:
首先:手動爬行網站后,選擇該站點進行owsap zap的強制瀏覽網站、強制瀏覽目錄、forced browse directory(and children)。
owasp zap的強制目錄瀏覽選擇使用owasp zap自帶的directory-list-1.0.txt 目錄字典進行嘗試爬取(你也可以自定義字典)。
以上的目的是盡量的爬行出網站的所有鏈接頁面!
其次:以上工作做完以后,就可以選擇該站點進行active scan(主動掃描)
主動掃描上面有一些相關 設置,例如:信息收集、客戶商和器、服務器安全、注入等。如果你有一定基礎可以去設置,不是很了解的朋友們只需要用默認的即可!
最后:主要就是查看掃描結果,主動掃描后,針對掃描的結果【警告】菜單欄查看每一項看是否真的存在相應的問題,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的語句即 attack后服務器返回的結果。
如果你想驗證該漏洞的真實有效性,你可以選擇該漏洞點進行相應安全工具再進一步的測試!
4、persist session結果保存
【文件】-【persist session】,該功能主要保存“掃描分析的結果”,方便下次繼續分析!
5、掃描模式
主要有4中掃描模式:安全模式、保護模式、標准模式、攻擊模式;
owasp zap默認用的是標准模式,你可以在【編輯 】- 【ZAP Mode】中選擇你想要的模式。
6、掃描策略
有兩個地方可以添加掃描策略 (1)【分析】-【掃描策略】,(2)設置按鈕
掃描策略你可以自己隨意設置的!如果不懂就用默認的吧!
- Policy:掃描策略名稱,需要填寫
- Default Alert Threshold:告警閥值,有low、medium、high,閥值越高owasp zap掃描爆出的漏洞數就越少,閥值越高owasp zap就只爆出確認的漏洞高的。
- Default Attack Strength:攻擊強度,有low、medium、high、insane,強度越高,掃描速度越快
- Apply xx Threshold to All:把告警閥xx值給所有掃描插件,點擊go 生效
- Apply xx Strength to All:把掃描強度xx應用給所有掃描插件,點擊go 生效
7、掃描時跳過某個插件掃描
在【掃描監控】中,點擊旁邊的藍色按鈕,可跳過該插件的檢測!
8、CSRF Tokens設置
部分網站有防止csrf的token,無法正常提供token網站會重定向,可以通過owasp zap 的anti csrf tokens功能來添加該網站的token名稱,告知owasp zap。
在【設置】-【Anti CSRF Tokens】里添加。
9、設置代理后,https網站證書不受信任問題
owasp zap 進行代理時,瀏覽器訪問https的網站,owasp zap使用自己的證書與瀏覽器建立ssl連接,由於owasp zap證書不受信任,因此需要把owasp zap的證書手動導出(cer格式的證書),導入到瀏覽器中即可!
導出owasp zap的證書的方法【設置】-【Dynamic SSL Certificates】;
10、contexts/scope 站點過濾
該功能可快速的定位自己關心的站點;
11、session properties
owasp zap 掃描站點的所有session結果都保存在session properties 中,默認是手動通過瀏覽器填寫賬號密碼來記錄session;
12、http session
owasp zap 默認有如下的字段名,如果網站中有其他自定義的session名,需要自己添加進來;
查看http session的值;
13、編碼解碼工具
【工具】-【編碼解碼哈希】
14、爬行useragent設置
【設置】-【connection】
15、fuzzer模糊測試(漏洞檢查工具)
直接右鍵需要fuzzer的http包,選擇fuzzer,選中需要fuzzer的值,添加payload;
這里以sql注入的fuzzer為例,選擇一個參數值,點擊add,選擇fuzzer的類型;
再查看fuzzer的測試結果; 
16、代理截斷
owasp zap默認使用8080代理,截斷默認關閉,要啟動階段需要點擊。
owasp zap截斷功能響應太慢,沒burpsuit的好用!
注意:
kali linux新版本的OWASP_ZAP如果你不是很了解的話,或許你的“站點”這里並不能顯示你瀏覽過的網站。OWASP_ZAP設置代理后,“站點”這里顯示不出任何網站解決方法如下:
第一步:啟動Manual Explore(手動瀏覽)
第二步:啟動瀏覽器,選擇“Firefox”;畢竟Kali Linux自帶的只有Firefox瀏覽器;
第三步:再通過啟動的這個Firefox瀏覽器再去訪問網站,“站點”這里就會顯示出來了。
原文: www.fujieace.com
發布日期:2018年08月14日 14:58:30 所屬分類:Kali Linux