当前位置:   article > 正文

OWASP ZAP的使用教程_owaspzap使用教程

owaspzap使用教程

目录

1.配置网络代理:

2.zap被动扫描:

3.zap主动扫描:

4.标准流程(重点)

5.Fuzz使用:


1.配置网络代理:

打开火狐浏览器:

(以下箭头依次操作)

打开zap软件:

这两个端口要配置一致。

2.zap被动扫描:

输入要测试的网址,点击启动浏览器

3.zap主动扫描:

 

4.标准流程(重点)

(1)打开zap,可选yes保存会话,下次就可以直接打开会话了,或者选no不保存会话,建议保存,避免二次手动爬网。

(2)身份验证,这里建议手动,其它身份验证因为自己也不太熟悉,欢迎交流。

(3)先手动爬网,尽可能吧能走的功能都走一遍,记录站点以及用户名密码过身份验证

具体参照2.zap被动扫描

以下站点就都被记录在左侧目录中了:

(4)右击站点攻击,除了主动扫描和最后两个都可以点一下,分别是蜘蛛爬行和强迫浏览这样就可以把站点记录的更全(如果强迫扫描进度过慢,就要把手动扫描记录记录的更全,跳过这步了)

 (5)上述都点完之后,就可以点主动扫描

以下是主动扫描的进度条:

点击以下小图标,可以看详细进程

从图上也可以看到,里面有常见的各种攻击,例如sql注入,xml注入等

(6) 可以查看相关的警报:

 里面有问题说明和解决方案

(7)最后就可以打出报告了

5.Fuzz使用:

以下演示sql注入和暴力破解密码,其它流程是一样的

sql注入:

(右侧信息在请求栏里)

 选中admin,在其旁边右击fuzz

 选中sql注入,例如mysql数据库;

 

 添加,开始:

 以下是相应的数据:

 暴力破解密码:

 选中密码,右击Fuzz

 选中密码文件,点击startFuzzer(此处的密码文件是我自己创建的,大家也可以在网上搜更完善的,因为搜不到就创建了一些简单常用的密码来测试)

以下是相应的结果:

 欢迎大家有问题交流吖。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小舞很执着/article/detail/785117
推荐阅读
相关标签
  

闽ICP备14008679号