OWASP ZAP 2.9.0 安裝及使用
1、下載與安裝
1.1、下載
百度網盤:https://pan.baidu.com/s/1-PySFuJJMlKzoCz5eCkIcg
提取碼:in8m
1.2、安裝
zap為免費開源的滲透測試工具,無需破解,雙擊執行,預設下一步即可。
2、使用
1、開啟應用
雙擊桌面上的快捷方式開啟即可。如果提示未安裝JDK,找到安裝目錄,雙擊zap.bat也可以。
啟動之後,預設建立一個新會話,會有三個選項。我們在學習過程中可以選擇不儲存這個會話。在正式的滲透測試中,需要儲存這個會話到磁碟中。
2、快速開始
zap是一個較容易入門的滲透測試工具,它提供了快速開始面板,對於不需要登入的目標地址,我們直接選擇Automated Scan,輸入目標網站地址,選擇相應的爬取方式,點選攻擊按鈕即可。
3、設定登入
zap提供五種登入方式,本次介紹一種設定session的方式來跳過登入步驟,這種方式適用於大多數網站。
3.1、新增令牌
選擇工具>選項...>HTTP Sessions>add,新增自己的token name
3.2、手動瀏覽目標地址,獲取session token value
在快速開始面板,選擇Manual Explore,輸入目標地址,點選啟動瀏覽器,手動登入,並瀏覽一到兩個地址。
3.3、新建session會話
在HTTP Sessions選項卡,選擇目標站點,點選新建會話,下方列表欄會增加一條session記錄,會記錄session token的值,並設定為active即可。
3.4、將目標網站包含在上下文中
在站點樹上,選擇目標地址,右鍵選擇Include in Context,將目標地址包含在指定上下文中
3.5、爬取目標網站
在站點樹上,選擇目標地址,右鍵選擇點選AJAX Spider,選擇上一步的指定上下文,即可爬取目標網站。
4、檢視過程
5、結果與報告
可以在警報欄看到掃描之後的結果,並可以看到漏洞的詳細資訊以及提供的建議等。
在報告欄,可以生成多種新式的報告。