OWASP_ZAP

OWASP_ZAP是kali自帶的一款web工具。

使用

session

掃描結(jié)果是否保存

1.保存到默認(rèn)位置
2.保存到指定位置
3.不保存

插件

插件

更新插件和安裝插件

一、截?cái)啻?,被動掃?/h1>

啟動owasp_zap后瀏覽器代理8080端口


被動掃描

點(diǎn)擊小綠點(diǎn)開啟截?cái)?/p>

二、fuzzy,暴力破解

fuzz

選定字符串后添加payload可以進(jìn)行fuzz
payload可以自己輸入也可以使用字典(kali中wfuzz下有fuzz常用字典)(owasp也有自帶的字典)

三、詳細(xì)功能

模式
Safe--不會對目標(biāo)進(jìn)行有破壞性的掃描
Protected--對指定的目標(biāo)進(jìn)行有破壞性的掃描
Standard--進(jìn)行一些有破壞性的掃描
ATTACK--進(jìn)行所有掃描

掃描策略


掃描策略

Anti CSRF Tokens
可以在設(shè)置中添加額外的csrf tokens

HTTPS代理
安裝 設(shè)置-Dynamic SSL Certificates中的證書

身份認(rèn)證


修改session

身份認(rèn)證

手動認(rèn)證,即代理截?cái)鄷r通過瀏覽器認(rèn)證。


身份認(rèn)證

通過表單認(rèn)證

顯示隱藏內(nèi)容
點(diǎn)擊小燈泡使用

四、掃描流程

1.設(shè)置代理
2.手動爬網(wǎng)
3.自動爬網(wǎng)
4.主動掃描

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容