OWASP ZAP渗透测试

已于 2024-07-01 17:34:11 修改
阅读量827 收藏 5
点赞数
分类专栏: jmeter 计算机操作 测试 文章标签: postman 测试工具
于 2023-06-14 17:44:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gaogsf/article/details/131211614
版权

一. API渗透测试–>POSTMAN执行API–>OWASP ZAP收集API接口–>渗透测试

  1. POSTMAN中创建API的测试request
  2. POSTMAN的设置中设置proxy代理,如下图:
    在这里插入图片描述
  3. 设置proxy,如下图
    在这里插入图片描述
  4. 创建collection,然后创建API request,如下图
    在这里插入图片描述
  5. 设置OWASP ZAP的代理,如下图:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  6. 点击POSTMAN中的 API request的send按钮,执行API成功,OWASP ZAP端就会自动检索并收集API的数据,如下图
    在这里插入图片描述
  7. 邮寄站点的域名–>攻击–>主动扫描–>点击开始扫描,就可以攻击了,如下图:
    在这里插入图片描述
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/48ff5d1dad7f459aa2e8a6a447709a02.png
  8. 攻击后产生如下数据,如下:
    在这里插入图片描述
    设置过滤条件的正则表达式,去过滤需要module模块的域名API:

在这里插入图片描述

  1. 点击报告,生成报告:
    在这里插入图片描述
    在这里插入图片描述

二.Web页面操作–>OWASP ZAP收集WEB接口–>渗透测试

  1. 设置OWASP ZAP代理,如第一种中的设置一样。
  2. 设置firefox火狐浏览器的代理,点击浏览器的setting按钮,进入到网络设置选项:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  3. 设置OWASP ZAP的手动打开浏览器的参数,如下:
    在这里插入图片描述
  4. 输入需要打开网站的网址,然后点击启动浏览器:
    在这里插入图片描述
  5. 自动打开浏览器后并进入到了baidu的页面,这些操作都被OWASP ZAP记录了相关域名和API,如下:
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/14c017dbac0c4cc4a2a55a74f17a93be.png
  6. 就可以选择对应的域名进行攻击–>主动扫描–>开始扫描,如同第一类型中的结果一样。
    7. 需要注意的是:选择对域名攻击时,需要辨别只选择攻击我们需要的域名,不能把所有的域名都攻击,因为站点收集到的域名可能是与我们工作无关的网址,如果攻击其他网址,可能会被定义为恶意攻击,需要慎重。尽量在firefox的代理里面设置白名单或黑名单。
(转)OWASP ZAP下载、安装、使用(详解)教程
diliu5480的博客
02-11 5880
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。 即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经...
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了(1)
2401_84715732的博客
05-12 1065
勾选传统爬虫,点击攻击,ZAP会自动攻击填写的网站。ZAP 将继续使用蜘蛛抓取 Web 应用程序,并被动扫描它找到的每个页面。然后,ZAP 将使用活动扫描程序攻击所有发现的页面、功能和参数。
OWASP ZAP安装与使用教程(2025最新版)
最新发布
一起学习
02-10 2515
本教程覆盖了OWASP ZAP的安装、核心功能及高级应用场景,适合从入门到进阶的学习者。结合自动化与手动测试,可全面提升Web应用的安全性。如需完整代码示例或实战案例,可参考优快云相关资源(如《Web漏扫工具OWASP ZAP实战指南》)。立即行动:下载ZAP并尝试扫描一个测试网站(如DVWA),体验漏洞发现与修复的全流程!
渗透测试工具ZAP入门教程4)-OWASP ZAP警报详解_missing anti-clickjacking header
2401_84715732的博客
05-12 951
SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入在应用程序中执行非授权的数据库操作。时间基准攻击(Time-Based)是SQL注入的一种变体,攻击者利用数据库执行查询时的延迟来判断查询结果的真假。在Oracle数据库中,可以通过进行延迟,来判断条件是否为真或假。在上述示例中,假设攻击者知道用户名为’admin’,但不知道密码的值。通过构造一个条件子查询,判断密码的每个字符,如果符合条件,则进行延迟等待(通过SYS.DBMS_LOCK.SLEEP函数);否则返回NULL。
渗透测试工具_新发布OWASP ZAP:Web漏洞渗透测试工具
weixin_39982017的博客
12-17 368
导读Keynote福音!强大而又免费的OWASP ZAP w2020-08-17已经发布!推荐阅读:恶意软件分析大合集兵器谱:史上最全Windows安全工具锦集渗透测试工具汇总OWASP Zed Attack Proxy攻击代理(ZAP)集成了web渗透测试工具,用于查找web应用程序中的漏洞,以供安全从业人员使用。OWASP ZAP是开发人员和功能测试人员的理想之选,也是渗透测试新手、...
渗透测试工具ZAP入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
热门推荐
Javachichi的博客
09-06 1万+
Zed Attack Proxy(ZAP)是一个免费的开源渗透测试工具,在 软件安全项目 (SSP)。ZAP 专为测试 Web 应用程序而设计,既灵活又可扩展。ZAP的核心是所谓的“中间人代理”。它位于测试人员的浏览器和Web应用程序之间,以便它可以拦截和检查浏览器和Web应用程序之间发送的消息,根据需要修改内容,然后将这些数据包转发到目的地。它可以用作独立应用程序和守护进程。如果已在使用另一个网络代理(如在许多企业环境中),则可以将 ZAP 配置为连接到该代理。
安全测试:OWSAP ZAP渗透测试工具
weixin_45760314的博客
08-17 322
安全测试:OWSAP ZAP渗透测试工具
owaspzap-渗透测试集成工具
nex1less的博客
09-07 374
0x01工具介绍和使用 工具介绍及详解:请点这 使用截图: 0x02工具下载 请点这 0x03工具优缺点 可以爬取目录,还是很好用的,其他功能也很实用。
渗透测试Web扫描器——OWASP_ZAP
hackzkaq的博客
10-14 4710
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 OWASP ZAP 一、简介 OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。 另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。 二、优缺点 1.优点 免费的web application 扫描器 更加集成性,更加完整,功能更加完善,用途更加广泛,平台稳定性也更加好的web扫描器 2.缺点 现阶段ZAP的中
OWASP ZAP
2301_76786857的博客
07-11 1551
OWASP ZAP 是一款功能强大且易于使用的 Web 应用安全测试工具,通过自动化扫描和手动测试相结合,帮助用户发现并修复 Web 应用中的安全漏洞。本文详细介绍了 ZAP 的安装步骤、代理配置、自动化扫描和手动测试的基本操作,希望能帮助用户快速掌握该工具的使用方法。 在实际操作中,ZAP 可以帮助开发者和安全专业人员提高 Web 应用的安全性,保护用户数据免受攻击。
ZapPenTester:自动化OWASP ZAP渗透测试工具在Microsoft堆栈中的应用
资源摘要信息:"ZapPenTester 是一款专门用于在 Microsoft 堆栈环境中实现自动渗透测试的命令行工具,其核心功能建立在开源的OWASP Zed Attack Proxy (ZAP) 之上。OWASP ZAP 是一个易于使用的集成渗透测试工具,旨在...
OWASP_ZAP
02-14
OWASP_ZAP-Kali Linux 2020.2 https://www.zaproxy.org/download/ https://github.com/zaproxy/zaproxy/releases/ 在线安装 curl -s https://raw.githubusercontent.com/nu11secur1ty/OWASP_ZAP/master/zap.sh | bash 模糊[ ]
OWASP(web渗透测试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透测试软件)安装包以及操作
OWASP ZAP.zip
08-15
OWASP ZAP,web安全扫描器,
OWASP ZAP 2.7.0 版本
09-27
OWASP Zed Attack Proxy (ZAP)工具是世界上最受欢迎的免费安全工具之一。ZAP可以帮助安全测试人员在开发和测试应用程序过程中,...另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
Owasp Zap Live CD:Owasp Zap Live CD-开源
07-08
Live CD、Live DVD 或 Live Disc 是完整的可引导计算机安装,包括在计算机内存中运行的操作系统。此 Live CD 包含 Owasp Zap 漏洞测试解决方案,OWASP ... 它也是经验丰富的渗透测试人员用于手动安全测试的绝佳工具。
安全测试工具OWASP ZAP下载、安装、使用(详解)教程
LYX_WIN
01-06 561
OWASP ZAP,全称是OWASP Zed attack proxy,是一款web application集成渗透测试和漏洞工具,同样是免费开源跨平台的。ZAP主要覆盖了。
渗透测试工具ZAP入门教程4)-OWASP ZAP警报详解
seanyang_的博客
05-29 2964
使用OWASP ZAP对网站进行安全扫描,扫描后发现一些警告。使用警告名称在百度进行搜索就能看到在OWASP ZAP网站上对应警告的解释。可以在如下地址输入alert查询。
OWASP ZAP 测试报告中文乱码解决方案
m0_65901944的博客
05-09 2869
测试报告中文乱码 解决方案:将JDK版本升级至11及以上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值