漏洞扫描工具OWASP ZAP的下载、安装、使用教程(KOS)

已于 2024-07-24 19:08:30 修改
阅读量3.8k 收藏 14
点赞数
分类专栏: 软件兼容性 文章标签: linux
于 2023-08-18 17:52:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KeyarchOS/article/details/132366727
版权

目录

1 概述

2 安装环境

2.1 操作系统环境

2.2 ZAP版本

3 安装ZAP

3.1 安装JDK

3.2 安装ZAP

4 ZAP使用

4.1 快速配置代理

4.2 开启快速探索模式

4.3 主动爬取网站

4.4 主动扫描

1 概述

OWASP Zed Attack Proxy(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网https://www.zaproxy.org/。

浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接浪潮信息云峦服务器操作系统KeyarchOS_KOS服务器操作系统-浪潮信息

2 安装环境

2.1 操作系统环境

版本信息:KeyarchOS 5.8sp1。

硬件平台:X86_64。

2.2 ZAP版本

OWASP ZAP 2.13.0

3 安装ZAP

3.1 安装JDK

使用ZAP工具需要安装JDK。

3.2 安装ZAP

访问OWASP ZAP官方网站(https://www.zaproxy.org/download/)下载安装包,选择合适的版本下载。

解压:tar -xvzf ZAP_2.13.0_Linux.tar.gz

运行:./zap.sh

4 ZAP使用

4.1 快速配置代理

在开始使用他进行渗透测试之前,如前文所述,首先需要将他设为我们的浏览器代理。

ZAP的默认地址和端口是标准的localhost:8080,如下图:

如果端口可用,接下来我们只需要去修改浏览器代理,以火狐为例:在设置-常规-连接设置里,选择手动代理,并将http代理设为与ZAP一致。

完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。 

4.2 开启快速探索模式

ZAP右上方区域是快速测试窗口,可以开启非常傻瓜式的渗透测试。输入网址,点击‘攻击’。

4.3 主动爬取网站

配置好代理的情况下,使用浏览器进行任何站点的访问都会经过ZAP,这时就会在ZAP的context记录里留下该站点记录,右键点击需要测试的站点,选择“攻击->Spider“,弹出的选项窗口点击“开始扫描”,则会开始手动爬取网站。如图:

 

4.4 主动扫描

右键点击目标站点,选择“攻击->主动扫描”,就可以触发主动扫描:

安全测试工具OWASP ZAP下载安装使用(详解)教程
LYX_WIN
01-06 790
OWASP ZAP,全称是OWASP Zed attack proxy,是一款web application集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP主要覆盖了。
漏洞扫描工具owasp-zap安装使用
afei001
02-11 3713
       在以前的kali版本中是集成了owasp-zap工具的。但是在kali-linux-2019-W37-amd64.iso镜像中该工具不存在了。 1. kali安装owasp-zap        使用最便捷的安装方式,添加软件源安装 # 将owasp-zap源写入到kali的安装源中 sh -c "echo 'deb http://download.opensuse.org/repo...
安全测试工具新宠 OWASP ZAP:免费开源跨平台,你敢错过?
我的博客
11-22 1132
最后:主要就是查看扫描结果,主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack的语句即attack后服务器返回的结果。Default Alert Threshold:告警阀值,有low、medium、high,阀值越高owasp zap扫描爆出的漏洞数就越少,阀值越高owasp zap就只爆出确认的漏洞高的。owasp zap默认有如下的字段名,如果网站中有其他自定义的session名,需要自己添加进来;
2024版最新owasp_zap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
09-10 2521
OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。本地代理主动扫描被动扫描Fuzzy暴力破解。
Web应用程序安全测试工具:OWASP ZAP
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
04-25 1008
OWASP ZAP 是一款功能强大且灵活的Web应用程序安全测试工具,它免费、开源,并且拥有庞大的社区支持。无论是安全专业人员还是开发人员,都可以利用 ZAP 来有效地识别和修复Web应用程序中的安全漏洞,从而提高应用程序的整体安全性。熟练掌握 ZAP使用对于保障Web应用程序的安全至关重要。
(转)OWASP ZAP下载安装使用(详解)教程
diliu5480的博客
02-11 6053
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经...
漏洞扫描工具OWASP ZAP安装使用
m0_71999197的博客
01-28 1710
OWASP ZAP工具安装使用 简介自用记录
OWASP ZAP安装使用教程(2025最新版)
一起学习
02-10 4305
教程覆盖了OWASP ZAP安装、核心功能及高级应用场景,适合从入门到进阶的学习者。结合自动化与手动测试,可全面提升Web应用的安全性。如需完整代码示例或实战案例,可参考优快云相关资源(如《Web漏扫工具OWASP ZAP实战指南》)。立即行动:下载ZAP并尝试扫描一个测试网站(如DVWA),体验漏洞发现与修复的全流程!
安全测试工具OWASP ZAP下载
m0_57098592的博客
06-13 2880
安全测试工具owasp zap下载安装
漏洞扫描工具OWASP ZAP下载安装使用教程
qq_37776764的博客
04-26 1万+
漏洞扫描工具OWASP ZAP下载安装使用教程(超详细)
漏洞扫描工具OWASP ZAP 2.13.0下载
12-22
ZAPOWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。 ZAP主要覆盖了安全性测试里渗透测试即对系统进行模拟攻击和分析...
OWASP ZAP 2.7.0 版本
09-27
OWASP Zed Attack Proxy (ZAP工具是世界上最受欢迎的免费安全工具之一。ZAP可以帮助安全测试人员在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具
zaproxy(Web渗透测试 Zed Attack Proxy)
06-02
zaproxy(Web渗透测试 Zed Attack Proxy)
OWASPZAP工具使用 (2023总结)
09-29
开放式Web应用程序安全项目(OWASP)是一个由来自世界各地的安全专家组成的开源社区,他们通过制定 OWASP 前 10 名(前 10 名最受关注的名单)分享了他们在漏洞、威胁、攻击和对策方面的专业知识危险的当前 Web 应用...
OWASP ZAP使用教程
热门推荐
fyj6699的博客
04-15 1万+
目录 1.配置网络代理: 2.zap被动扫描: 3.zap主动扫描: 4.标准流程(重点) 1.配置网络代理: 打开火狐浏览器: (以下箭头依次操作) 打开zap软件: 这两个端口要配置一致。 2.zap被动扫描: 输入要测试的网址,点击启动浏览器 3.zap主动扫描: 4.标准流程(重点) (1)打开zap,可选yes保存会话,下次就可以直接打开会话了,或者选no不保存会话,建议保存,避免二次手动爬网。 (2)身份验证,这里建议手动,其..
KeyarchOS安装OWASP Zed Attack Proxy (ZAP工具
m0_63147799的博客
07-19 131
OWASP Zed Attack Proxy(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。更多详细信息见ZAP官网。
OWASP ZAP 2.13.0 漏洞扫描工具下载
gitblog_09708的博客
10-16 748
OWASP ZAP 2.13.0 漏洞扫描工具下载下载地址】OWASPZAP2.13.0漏洞扫描工具下载 ZAP主要用于对web应用程序进行渗透测试,以确定其安全性漏洞。它通过代理模式工作,将自己置于浏览器和服务器之间,所有浏览器与服务器的交互都会经过ZAP,从而允许ZAP对其进行抓包分析和扫描 ...
owasp zap使用教程
05-14
OWASP ZAP是一个免费的开源Web应用程序安全扫描器,可以帮助您识别Web应用程序中的漏洞和安全问题。以下是OWASP ZAP使用教程的基本步骤: 1. 下载安装OWASP ZAP 您可以从OWASP ZAP官方网站(https://www.zaproxy.org/download/)下载适合您操作系统的安装包,然后按照安装程序的指示进行安装。 2. 启动OWASP ZAP 完成安装后,运行OWASP ZAP应用程序。第一次启动时,您需要设置一个代理来拦截Web应用程序的流量。 3. 配置代理设置 在OWASP ZAP主界面中,选择“Tools > Options”菜单,选择“Local Proxy”选项卡,确保“Proxy Listening”选项已选中,并且“Port”选项设置为默认端口号“8080”。然后单击“Save”按钮保存更改。 4. 配置浏览器代理 在浏览器中,打开代理设置选项,并将代理服务器设置为“localhost”和端口号“8080”。这将使OWASP ZAP能够拦截浏览器的流量。 5. 启动扫描 在OWASP ZAP主界面中,选择“Quick Start”选项卡,输入要扫描的URL,并选择扫描类型。然后单击“Start Scan”按钮开始扫描。 6. 查看扫描结果 扫描完成后,OWASP ZAP将显示所有发现的漏洞和安全问题。您可以查看每个问题的详细信息,并采取必要的措施来修复它们。 7. 导出报告 如果需要,您可以导出扫描报告以供其他人查看。在OWASP ZAP主界面中,选择“Report”选项卡,选择要导出的报告类型,并单击“Generate Report”按钮生成报告。 以上是OWASP ZAP使用教程的基本步骤。请注意,这只是一个简单的指南,您还需要深入了解OWASP ZAP的功能和设置,以最大程度地利用它的强大功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值