【安全測試】OWASP ZAP 安全掃描

一、目的

本文主要記錄在OWASP ZAP安裝及使用過程中的步驟及遇到的問題。

二、owsap zap介紹

OWASP主要用於web應用的安全掃描，有windows版桌面端，也可以有linux的cmd命令行模式，還可以有API接口，供python，java等調用二次開發。

主要擁有以下重要功能：

• 本地代理
• 主動掃描
• 被動掃描
• Fuzzy
• 暴力破解

三、owasp的下載安裝

3.1 下載地址

安裝包下載地址：https://www.zaproxy.org/download/

選擇windows或者linux包，點擊download，即可。

 

我下載的是這兩個。

3.2 windows安裝

windowns的安裝包下載下來后，是exe的可執行程序，點擊安裝即可。

3.3 linux安裝

linux 包下載下來后是ZAP_2.11.1_Linux.tar.gz，拷貝到linux服務器指定目錄下，解壓后，進入zap_2.11.1文件夾，可以看到有zap.sh腳本；

執行sh zap.sh 腳本即可啟動。會默認啟動GUI模式。

如果linux下沒有安裝桌面模式，可以執行sh zap.sh -cmd,采用cmd模式啟動zap。

默認啟動8080端口。

sh zap.sh -cmd -h 查看幫助文檔。

四、owsap zap 在linux上的應用

4.1 目標：

啟動端口改為8090

 快速掃描url

采用有效的cookie進行替換，達到登錄掃描效果

將所有文件指定到文件夾中

 生成報告

scan_url=http://192.168.x.x:9999/abc
cookie="MYSESSION=abcdedfsasdfasdfsdf"
zap_dir=/root/ZAP/ZAP_2.11.1
build_dir=/root/mydir

sh $zap_dir/zap.sh -cmd\

-port 8090 \

-quickurl $scan_url \

-quickout $build_dir/zap_report.html \

-dir $build_dir \

-config replacer.full_list\(0\).replacement=$cookie \

-quickprogress

 說明：

-quickout $build_dir/zap_report.html ：生成zap_report.html的報告，也可以生成xml報告

-config replacer.full_list\(0\).replacement=$cookie ：替換config.xml中cookie的值，有兩種方式配置config，參見4.2 config.xml 配置

-quickprogress 顯示掃描進度

4.2 config.xml 配置

在windows的ZAP GUI修改替換配置，可以直接在工具-選項-替換-Add中配置對應的key-value，即可。在工作目錄C:\Users\admin\OWASP ZAP\config.xml中會自動更新最新的配置。

第一種修改配置：

直接修改zap.sh同級目錄中的xml文件夾中的config.xml，將replacer的配置手動寫入到config.xml中；

具體的內容及格式，可以先在GUI模式下修改好后，再查看GUI模式下的config.xml文件，再 將對應的配置拷貝到linux下的config.xml文件中。

第二種配置：

可以采用-config 的參數動態寫入動態修改里面的值。

參考鏈接https://www.zaproxy.org/faq/how-do-you-find-out-what-key-to-use-to-set-a-config-value-on-the-command-line/

-config replacer.full_list\(0\).description=替換cookie \
-config replacer.full_list\(0\).enabled=true \
-config replacer.full_list\(0\).matchtype=REQ_HEADER \
-config replacer.full_list\(0\).matchstr=Cookie \
-config replacer.full_list\(0\).regex=false \
-config replacer.full_list\(0\).replacement="MYSESSION=abcdedfsasdfasdfsdf" \
-config replacer.full_list\(1\).description=其他替換 \
-config replacer.full_list\(1\).enabled=true \
-config replacer.full_list\(1\).matchtype=REQ_HEADER \
-config replacer.full_list\(1\).matchstr=AnotherHeader \
-config replacer.full_list\(1\).regex=false \
-config replacer.full_list\(1\).replacement=BLAHBLAH

4.3 查看報告

將quickout生成的html文件，用瀏覽器打開，即可查看報告

五.Troubshooting

5.1 windows下ZAP無法啟動google瀏覽器

原因：google瀏覽器版本和ZAP安裝的瀏覽器驅動版本不匹配導致

解決方法：

可以更新google瀏覽器版本，也可以更新瀏覽器驅動版本

我們采用更新瀏覽器驅動版本來解決問題。

1.查看瀏覽器版本號=65.0

2.查找改版本對應的驅動2.38

3.下載驅動，下載地址http://chromedriver.storage.googleapis.com/index.html

4.將驅動放到ZAP的selenium文件夾中。這個目錄可以在ZAP的工具-選項-配置-selenium中可以查到。一般是C:\Users\admin\OWASP ZAP\webdriver\windows\64

5.重啟ZAP即可

 

-----------------------------

越努力越幸運

積極主動高效

-----------------------------