mac上的入門使用指南
下載和安裝
官網下載地址 https://www.zaproxy.org/
mac下載下來是dmg文件,直接打開即可;需要注意的是該程序需要Java8支持。
本地代理
- owasp打開后,代理默認就是打開的,代理端口默認是8080,端口是可以修改的
- 給瀏覽器或需要測試的應用設置代理
這里以mac為例
a 打開設置-網絡-高級,打開HTTP和HTTPS代理,如圖
設置為后打開瀏覽器,owasp就能攔截到http的網絡請求了;但HTTPS的還需要進一步配置,原因是HTTPS需要系統對owasp的證書進行信任,否則會一直彈證書信任提示框。
b 添加owasp證書到鑰匙串
打開 鑰匙串訪問.app
選擇系統-證書
在菜單中選擇 文件-導入項目,將owasp的證書導入並信任就可以了。
owasp的證書怎么獲取呢?owasp的設置里有一項叫Dynamic SSL Certificate,點擊並生成,最終會保存為一個.cer證書文件。
到此為止,owasp可以抓取電腦上的https相關請求了。
主動掃描
主動掃描是首先給定需要掃描的系統地址,掃描工具通過某種方式訪問這個地址,如使用各種已知漏洞模型進行訪問,並根據系統返回的結果判定系統存在哪些漏洞;或者在訪問請求中嵌入各種隨機數據(模糊測試)進行一些簡單的滲透性測試和弱口令測試等。
主動掃描覆蓋測試面會比較大,但缺點是完成一次全面掃描非常耗時 (一般都需要幾個小時)
被動掃描
待續
參考資料
https://blog.csdn.net/wxh0000mm/article/details/104450024
https://testerhome.com/topics/10323