网络安全学习笔记工具篇（—）——OWASP ZAP（专业技术人员网络安全知识读书笔记）

网络安全学习笔记工具篇（—）——OWASP ZAP（专业技术人员网络安全知识读书笔记）

一、工具说明

OWASP ZAP是一款易于使用的WEB***测试工具，全名叫做OWASP Zed Attack Proxy。具有代理截包、重放、爬虫、主动扫描、被动扫描、登录扫描测试、模糊测试、生成CSRF测试列表、目录浏览、编码/解码等相关的功能。

二、工具下载地址

软件下载地址：ZAP工具对WEB网站进行扫描时的简要的分享说明，包括网站无登录认证及有登录认证的两种情况。

四、如果网站无登录认证：

以Proxies

2、主动扫描（Automated Scan）

4、系统进行自动的页面爬取，完成后自动对爬取到的页面进行安全扫描

5、验证漏洞

略

五、网站有登录认证

以DVWA靶机为例，在本地搭建DVWA靶机，地址为:LOW级别为例，几乎是把所有的漏洞都扫描出来了。

1、设置代理

2、手工探索（Manual Explore）

3、设置URL后，启动浏览器进行手工爬取网站

4、对爬取到的网站进行 主动扫描

5、验证漏洞

略

（二）、表单身份认证

说明：这种方式我发现网页及其参数爬取基本上都是正常的，但是有的时候会出现不报漏洞，分析其发送的报文，可以发现报文带出去的参数是已经匹配到了漏洞，返回报文也提示有漏洞，但是在“警告”中并不展示。如XSS测试，将其发送的报文在浏览器中打开，也可以提示存在XSS漏洞。

1、设置浏览器代理，通过浏览器打开网站，如果有登录界面，先进行登录。截获了报文后，在左边“站点”下就有了相应的网站。

3、配置context使用的会话管理方法 Session Management Method，默认为Cookie-based Session Management

4、配置认证方法Authentication Method 为 Form-based Authentication，指定所有需要的参数，如下图所示：

5、配置认证验证策略，至少指定一个登录成功的指示符及一个登出成功的指示符

6、配置一个或者多个用户User

7、如果登录设置有CSRF_TOKEN，则需要配置Anti-CSRF Tokens

首先F12或者查看源代码在登录页面寻找CSRF_TOKEN的标识，如下面的标识为 user_token：

在工具——选项——Anti-CSRF-Tokens标签添加该标识，如下：

9、可以看到登录成功，并且可以爬取到相关的页面。

身份认证截图：

爬取完成后，在左边的小“文件夹“中可以看到爬取的页面

扫描的时候在弹出的框中可以选择User。

11、漏洞验证

略

六、总结

根据官方的介绍，OWASP ZAP是一款自动化的WEB漏洞发现工具，熟练使用后可以大大的减少漏洞发现的时间，但是同时也要认识到ZAP只是一款工具，其依赖于各种特征，也依赖于使用方法。OWASP ZAP有非常多的功能，认证扫描也具有多种不同的登录认证方式，通常一款扫描器应当具备手工认证、表单认证、COOKIE认证、脚本录制等方式，本文只讲到了手工身份认证及表单认证，脚本的方式还没有认真去学习，在实际工作中应当多种尝试多种方式，用不同的方式去发现漏洞，提高漏洞发现机率。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。