漏洞扫描工具OWASP ZAP的下载、安装、使用教程(KOS)

目录

1 概述

2 安装环境

2.1 操作系统环境

2.2 ZAP版本

3 安装ZAP

3.1 安装JDK

3.2 安装ZAP

4 ZAP使用

4.1 快速配置代理

4.2 开启快速探索模式

4.3 主动爬取网站

4.4 主动扫描


1 概述

OWASP Zed Attack Proxy(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。

浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接浪潮信息云峦服务器操作系统KeyarchOS_KOS服务器操作系统-浪潮信息

2 安装环境

2.1 操作系统环境

版本信息:KeyarchOS 5.8sp1。

硬件平台:X86_64。

2.2 ZAP版本

OWASP ZAP 2.13.0

3 安装ZAP

3.1 安装JDK

使用ZAP工具需要安装JDK。

3.2 安装ZAP

访问OWASP ZAP官方网站(https://www.zaproxy.org/download/)下载安装包,选择合适的版本下载。

解压:tar -xvzf ZAP_2.13.0_Linux.tar.gz

运行:./zap.sh

4 ZAP使用

4.1 快速配置代理

在开始使用他进行渗透测试之前,如前文所述,首先需要将他设为我们的浏览器代理。

ZAP的默认地址和端口是标准的localhost:8080,如下图:

如果端口可用,接下来我们只需要去修改浏览器代理,以火狐为例:在设置-常规-连接设置里,选择手动代理,并将http代理设为与ZAP一致。

完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。 

4.2 开启快速探索模式

ZAP右上方区域是快速测试窗口,可以开启非常傻瓜式的渗透测试。输入网址,点击‘攻击’。

4.3 主动爬取网站

配置好代理的情况下,使用浏览器进行任何站点的访问都会经过ZAP,这时就会在ZAP的context记录里留下该站点记录,右键点击需要测试的站点,选择“攻击->Spider“,弹出的选项窗口点击“开始扫描”,则会开始手动爬取网站。如图:

 

4.4 主动扫描

右键点击目标站点,选择“攻击->主动扫描”,就可以触发主动扫描:

OWASP ZAP是一个免费的开源Web应用程序安全扫描器,可以帮助您识别Web应用程序中的漏洞和安全问题。以下是OWASP ZAP使用教程的基本步骤: 1. 下载安装OWASP ZAP 您可以从OWASP ZAP官方网站(https://www.zaproxy.org/download/)下载适合您操作系统的安装包,然后按照安装程序的指示进行安装。 2. 启动OWASP ZAP 完成安装后,运行OWASP ZAP应用程序。第一次启动时,您需要设置一个代理来拦截Web应用程序的流量。 3. 配置代理设置 在OWASP ZAP主界面中,选择“Tools > Options”菜单,选择“Local Proxy”选项卡,确保“Proxy Listening”选项已选中,并且“Port”选项设置为默认端口号“8080”。然后单击“Save”按钮保存更改。 4. 配置浏览器代理 在浏览器中,打开代理设置选项,并将代理服务器设置为“localhost”和端口号“8080”。这将使OWASP ZAP能够拦截浏览器的流量。 5. 启动扫描 在OWASP ZAP主界面中,选择“Quick Start”选项卡,输入要扫描的URL,并选择扫描类型。然后单击“Start Scan”按钮开始扫描。 6. 查看扫描结果 扫描完成后,OWASP ZAP将显示所有发现的漏洞和安全问题。您可以查看每个问题的详细信息,并采取必要的措施来修复它们。 7. 导出报告 如果需要,您可以导出扫描报告以供其他人查看。在OWASP ZAP主界面中,选择“Report”选项卡,选择要导出的报告类型,并单击“Generate Report”按钮生成报告。 以上是OWASP ZAP使用教程的基本步骤。请注意,这只是一个简单的指南,您还需要深入了解OWASP ZAP的功能和设置,以最大程度地利用它的强大功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值