码迷,mamicode.com
首页 > Web开发 > 详细

OWASP-ZAP

时间:2016-04-01 13:05:39      阅读:381      评论:0      收藏:0      [点我收藏+]

标签:

Zed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。

ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

ZAP中国:http://www.owasp.org.cn/

BackTrack5R3中集成了ZAP,下面我来演示了一下ZAP的简单实用。

打开方式:

1.

 

cd /pentest/web/owasp-zap
./zap.sh

 

2.

 

Applications|BackTrack|Vulnerability Assessment|Web Application Assessment|Web Vulnerability Scanners|owasp-zap

 

使用方法:

1.设置

ZAP像Burp suite一样使用代理的方式来截取网站。

技术分享

在Tools|Local proxy中设置相关选项。

技术分享

默认已经设置好了,如果端口冲突就自己改。

在Firefox中设置代理。

Edit|Preferences|Advanced|Network|Setting

选择Manual proxy configuration单选项。

技术分享

浏览目标机器,这里使用Metasploitable2来示例。

用Firefox访问后,在ZAP中出现了Sites。

2.Spider site

右键选择Attack|Spider site

技术分享

扫描要很久,因为是示例所以就先停了。

3.Brute Force

在Site选择目标,在List中选择字典。有big medium small等类型的字典。

技术分享

4.Port Scanner

技术分享

虽然扫描速度很快,但是不够Nmap准确。

5.Active Scan

主动扫描是ZAP最强大的功能之一。

技术分享

6.Alerts

扫描出来的漏洞就在这里了。

技术分享

7.插件

待续

 

转自:http://www.freebuf.com/tools/5427.html

OWASP-ZAP

标签:

原文地址:http://www.cnblogs.com/tdcqma/p/5344494.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!