中国电子商会信息工程测试专业委员会主办
今天是 2024年 12月 09日 星期一
中国电子商会信息工程测试专业委员会
Integrity archives
诚信档案
技术前沿 您的位置:主页 > 诚信档案 > 技术前沿 >
Web渗透_扫描工具OWASP_ZAP
2023-06-02 返回列表

OWASP_ZAP

  • Zed attack proxy

  • WEB Applicaiton系统渗透测试和漏洞挖掘工具

  • 开源免费跨平台简单易用

  • 截断代理

  • 主动、被动扫描

  • Fuzzy、暴力破解

  • API

    • http://zap/   需要浏览器开启代理

 

安装

 

  • OWASP ZAP – 下载 (zaproxy.org)

 

图片

 

  • 之后再kali直接运行,然后选择语言

图片

 

 

  • 然后点击下一步

图片

 

图片

图片

图片

 

图片

 

 

 

 

  • 然后直接运行就能打开

图片

 

 

  • 启动之后,会自动开启代理

图片

 

 

  • 在浏览器上设置代理之后,浏览器访问都经过OWASP_WAP

 

图片

 

  • 如果你在dvwa上输入账号用户名也会被抓下来

图片

 

 

  • 点击警报会看到很多的问题

 

图片

 

  • 当然也可以主动扫描,点击快速开始,把URL粘贴上,点击攻击就行了

 

图片

 

  • ZAP也提供了API,在浏览器开启代理的情况下,访问http://zap/

图片

 

 

  • ZAP有四种扫描方式

图片

 

 

zap的扫描策略

 

  • 默认的情况下只有一个默认策略

 

图片

 

  • 添加扫描策略在这个地方

 

图片

 

  • 之后可以添加策略

 

图片

 

  • 然后你可以根据你的需求去修改策略

 

图片

 

  • 之后保存即可

 

图片

 

  • 扫描https,建议将zap的证书导入至浏览器中

图片

图片

图片

 

 

导入即可

 

  • 该工具还有其他很多好用的功能,自行去探索!


 

二维码
中国电子商会信息工程测试专业委员会 电话:010-87660482 传真:010-87660482 邮箱:ceietn@sina.com 地址:北京经济技术开发区博兴六路17号院1号楼3层(100176)
Copyright © 2021-2027 中国电子信息工程与测试网 版权所有 主办单位:中国电子商会信息工程测试专业委员会 技术支持:电设信科(北京)技术有限公司 备案号:京ICP备11002915号-001