测试工具 OWASP ZAP安装使用
项目测试工具主要使用owasp zap和appcan 两种工具进行安全性测试,在提测给测试部测试的同时,开发部本身也在使用工具进行修改测试验证相关问题。在此基础上,本文简要介绍owasp zap工具相关信息,以及实际的安装使用过程,以便后续持续使用以及为后来者提供参考借鉴,文中不免疏漏之处,望读者予以指正!
1. 概念介绍
1.1 OWASP
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织,
致力于应用软件的安全研究,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。
其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。
其目的是协助个人、企业和机构来发现和使用可信赖软件。
开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。
1.2 OWASP ZAP
ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,
是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
OWASP ZAP是世界上最受欢迎的免费安全工具之一。
ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。
另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
2. 下载安装
2.1 下载
https://www.zaproxy.org/download/
https://github.com/zaproxy/zaproxy/releases/download
2.2 安装
- 安装环境
windows环境:Windows Server 2019 Standard
jdk版本:jdk-8u281-windows-x64.exe
ZAP版本:ZAP_2_10_0_windows.exe
- 安装步骤
windows下安装,exe文件执行,下一步即可完成安装。
注意:ZAP依赖于jdk环境,需要预先安装jdk。
3. 使用方法
3.1 本地代理设置
给Chrome浏览器设置http代理,owasp zap默认使用8080端口开启http代理;
Chrome浏览器,设置 -- 高级 -- 系统 -- 代理,然后进入windows 网络和Internet 代理中,
或者直接进入windows进行设置:windows--设置--代理;
如果想修改owasp zap默认的代理,owasp zap的代理设置可在 工具 -- 选项 -- 本地代理 中修改。
3.2 简单攻击
Chrome浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。
1) 爬行网站
手动爬行网站后,选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children),尽量的爬行出网站的所有链接页面!
2) 主动扫描
3)查看扫描结果
警报界面,点击具体的警报列表内容,右侧会显示该条警报的风险等级、攻击方式、相关参数以及解决方案建议和涉及的内容等等,根据相关提示信息,可通过调整项目工程相关配置等,提高系统安全。
4. 参考资料
[1] https://www.zaproxy.org/
[2] https://blog.csdn.net/wxh0000mm/article/details/104450024