OWASP ZAP入门使用说明

mac上的入门使用指南

下载和安装

官网下载地址 https://www.zaproxy.org/
mac下载下来是dmg文件,直接打开即可;需要注意的是该程序需要Java8支持。

本地代理

  1. owasp打开后,代理默认就是打开的,代理端口默认是8080,端口是可以修改的

  1. 给浏览器或需要测试的应用设置代理
    这里以mac为例
    a 打开设置-网络-高级,打开HTTP和HTTPS代理,如图

    设置为后打开浏览器,owasp就能拦截到http的网络请求了;但HTTPS的还需要进一步配置,原因是HTTPS需要系统对owasp的证书进行信任,否则会一直弹证书信任提示框。
    b 添加owasp证书到钥匙串
    打开 钥匙串访问.app
    选择系统-证书
    在菜单中选择 文件-导入项目,将owasp的证书导入并信任就可以了。
    owasp的证书怎么获取呢?owasp的设置里有一项叫Dynamic SSL Certificate,点击并生成,最终会保存为一个.cer证书文件。
    到此为止,owasp可以抓取电脑上的https相关请求了。

主动扫描

主动扫描是首先给定需要扫描的系统地址,扫描工具通过某种方式访问这个地址,如使用各种已知漏洞模型进行访问,并根据系统返回的结果判定系统存在哪些漏洞;或者在访问请求中嵌入各种随机数据(模糊测试)进行一些简单的渗透性测试和弱口令测试等。
主动扫描覆盖测试面会比较大,但缺点是完成一次全面扫描非常耗时 (一般都需要几个小时)

被动扫描

待续

参考资料

https://blog.csdn.net/wxh0000mm/article/details/104450024
https://testerhome.com/topics/10323

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/nokia/p/14609581.html