【网络安全学习】漏洞扫描:-04- ZAP漏洞扫描工具
**ZAP(Zed Attack Proxy)**是一款由OWASP组织开发的免费且开源的安全测试工具。
ZAP支持认证、AJAX爬取、自动化扫描、强制浏览和动态SSL证书等功能。
1️⃣ 安装zap工具
现在的kali版本不一定会预装zap,我们可以自行安装,安装也十分简单。
apt-get install zaproxy -y
安装完成后,点击左上角的图标,搜索zap,点击打开即可
第一次打开会要求进行更新
2️⃣ 设置代理
设置代理是为了让所有的请求和响应都能被ZAP工具拦截和检查。
设置ZAP代理
ZAP工具默认使用8080端口开启HTTP代理,如果需要修改,依次点击**【工具】→【选项】→【网络】→【本地服务器/代理】**进行修改,如下图所示:
设置浏览器代理
这里以FireFox浏览器举例
在Firefox中单击**【工具】→【设置】,在打开的界面中找到【网络设置】,并单击【设置】按钮。在【连接设置】对话框中,可以选择【手动配置代理】,然后在【HTTP代理】文本框中填写ZAP工具的代理地址,在【端口】**文本框中输入ZAP的端口号。
3️⃣ 设置证书
访问HTTPS链接的时候,需要将浏览器代理设置中选择**【也将此代理用于HTTPS】**,再将ZAP生成的证书导入浏览器。
ZAP生成证书:
【工具】→【选项】→【网络】→【服务器证书】→【保存】
FireFox中导入证书:
【工具】→【设置】→【隐私与安全】→【证书】→【查看证书】
4️⃣ 开始扫描
🎈 执行主动扫描
在配置完代理和证书后,选择需要进行主动扫描的目标网站或URL,之后ZAP工具会自动发送不同的攻击载荷,并根据响应判断是否存在漏洞。
为了快速发起主动扫描,单击**【自动扫描】选项,然后在弹出的界面中输入要攻击的URL,并选择【使用传统爬虫】和【使用ajax爬虫】**复选框,这样可以让ZAP工具对网站下的各个页面进行扫描,而不仅仅针对首页或单个URL。
单击**【攻击】执行主动扫描。扫描完成后,会在警报栏中显示扫描结果,会以高、中、低、信息**这些级别进行分类。
单击每个报警会有详细的信息以及建议,以跨站脚本攻击为例:
🎈 生成报告
选择**【报告】→【生成报告】**,在弹出的选项卡中选择,并生成报告,默认生成的报告为html文件。
点击**【生成报告】**后会自动弹出报告:
🎈 手动探索
在进行手动探索时,ZAP工具不会自动发送攻击载荷,而是由渗透测试人员根据需要选择或编辑不同的参数和值后,自行发送。
首先设置ZAP和浏览器的代理,这个之前已经设置过了。
接下来,需要在ZAP中启动代理浏览器来访问目标网站。
选择**【手动浏览】**,并选择代理浏览器,并启动:
在访问URL时,ZAP工具会记录所有的请求和响应,并显示在网站树和历史记录中。
图中是我之前做了个ping的操作:
我们可以从这些记录中选择任意一个请求或响应,并进行修改或重发,如下所示:
5️⃣ 小结
通过以上介绍,我们了解了如何使用ZAP工具对网站执行扫描,以发现其存在的安全漏洞。
当然,ZAP工具还有很多其他功能和特性,例如被动扫描、暴力破解、Web套接字支持等,可自行探索。
🆘 请不要使用以上技术损害他人利益,这些均为技术研究,请遵守相关的法律法规,谢谢! 💥