Web安全—Web漏扫工具OWASP ZAP安装与使用

这篇具有很好参考价值的文章主要介绍了Web安全—Web漏扫工具OWASP ZAP安装与使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文仅用于安全学习使用!切勿非法用途。

一、OWASP ZAP简介

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站:

https://www.zaproxy.org/download/

二、OWASP ZAP安装

① ZAP支持在Windows、Linux、MacOS等平台上运行,可以在官网直接下载数据包,Windows和Linux版本需要运行Java 8或更高版本。
owasp zap安装,网络安全,web安全

② Kali Linux系统中,内置了ZAP软件,可直接使用:
owasp zap安装,网络安全,web安全

三、OWASP ZAP使用

  • 保持会话

保存会话会将会话结果记录到数据库中,不保存则会在退出ZAP时被删除。
owasp zap安装,网络安全,web安全

  • 用户界面
    owasp zap安装,网络安全,web安全

  • 自动扫描
    点击“快速开始”–>“Automated Scan”,输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。
    owasp zap安装,网络安全,web安全

  • 扫描结果
    点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:
    owasp zap安装,网络安全,web安全

扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情:
owasp zap安装,网络安全,web安全

  • 手动探索
    在快速开始界面,点击“Manual Explore”手动探索,输入要探索的Web应用程序的URL,选择需要使用的浏览器,点击启动浏览器:
    owasp zap安装,网络安全,web安全

ZAP提供了HUD功能,是一种可以直接在浏览器中访问ZAP的 功能,可以在访问Web时,提供关键的安全信息和功能:
owasp zap安装,网络安全,web安全

此时便可与浏览器交互登录等操作的同时,ZAP进行同步探索:
owasp zap安装,网络安全,web安全

点击不同的页面,右下角会弹出已扫描出的漏洞告警。
owasp zap安装,网络安全,web安全

将页面尽可能遍历后,查看站点树,会将有警报的站点标识出来:
owasp zap安装,网络安全,web安全

  • 单目标攻击
    右键站点树的某个子路径,可对单个目标进行“攻击”:
    owasp zap安装,网络安全,web安全

使用“爬行”、“强制浏览网站”、“强制浏览目录”、“强制浏览目录和子页面”将页面路径记录的更全,然后再使用“主动扫描”等其他方式进行进一步的测试。文章来源地址https://www.toymoban.com/news/detail-640001.html

  • 生成报告
    所有扫描完成后,点击“报告”,生成HTML报告:
    owasp zap安装,网络安全,web安全
    owasp zap安装,网络安全,web安全

到了这里,关于Web安全—Web漏扫工具OWASP ZAP安装与使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对

    2024年02月12日
    浏览(44)
  • WEB十大安全漏洞(OWASP Top 10)与渗透测试记录

            每年 OWASP(开放 Web 应用程序安全项目)都会发布十大安全漏洞。它代表了对 Web 应用程序最关键的安全风险的广泛共识。了解十大WEB漏洞种类并善于在渗透测试中发现漏洞是安全行业人员的基本要求。 1.失效的访问控制 2.加密机制失效 3.注入 4.不安全的设计 5.安

    2024年02月02日
    浏览(59)
  • Go 语言之 zap 日志库简单使用

    log:https://pkg.go.dev/log log 包是一个简单的日志包。 Package log implements a simple logging package. It defines a type, Logger, with methods for formatting output. It also has a predefined \\\'standard\\\' Logger accessible through helper functions Print[f|ln], Fatal[f|ln], and Panic[f|ln], which are easier to use than creating a Logger manually. Th

    2024年02月09日
    浏览(41)
  • OWASP API 安全风险,有哪些安全措施

    随着互联网的快速发展,Web应用已成为人们日常生活和工作中不可或缺的一部分。然而,Web应用的安全问题也日益凸显,给企业和个人带来了极大的风险。 对于一些安全行业的用户来说,不少都听过关于OWASP这个词,很多用户想要了解下到底是什么意思,以及提到的OWASP top

    2024年04月09日
    浏览(41)
  • OWASP移动应用安全测试指南中文版

    OWASP移动应用安全测试指南(MASTG)是OWASP移动应用安全(MAS)旗舰项目的一部分,是一本涵盖移动应用安全分析过程、技术和工具的综合手册,也是一套详尽的测试案例,用于验证OWASP移动应用安全验证标准(MASVS)中列出的要求,为完整和一致的安全测试提供一个基线。 O

    2024年02月07日
    浏览(42)
  • Go 语言之在 gin 框架中使用 zap 日志库

    gin.Default() 的源码 Logger(), Recovery() 实操 运行并访问:http://localhost:8080/hello test.log 其它参考:https://github.com/gin-contrib/zap

    2024年02月09日
    浏览(41)
  • OWASP安全练习靶场juice shop-更新中

    Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在 OWASP VWA 目录中。 该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。 找到这个记分牌实际上是(简单的)挑战之一! 除了黑客和意

    2024年02月03日
    浏览(35)
  • 网安云知识 | OWASP TOP 10之安全配置错误

    这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。 安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码

    2024年03月09日
    浏览(43)
  • 自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!

    在学习网络安全之前,需要总体了解安全趋势和常见的Web漏洞,在这里我首推了解OWASP,因为它代表着业内Web安全漏洞的趋势; 目录 一、OWASP简介 OWASP Top 10: 2013版至2017版改变了哪些内容 二、OWASP Top 10 A1:注入漏洞 A2:失效的身份认证 A3:敏感数据泄露 A4:XML 外部实体漏洞(XXE)

    2024年02月10日
    浏览(47)
  • 【解读】OWASP 大语言模型(LLM)安全测评基准V1.0

    大语言模型(LLM,Large Language Model)是指参数量巨大、能够处理海量数据的模型, 此类模型通常具有大规模的参数,使得它们能够处理更复杂的问题,并学习更广泛的知识。自2022 年以来,LLM技术在得到了广泛的应用和发展,GPT 系列模型因其惊人的语言生成能力获得世界瞩目,

    2024年03月17日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包