1、安装
网址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
步骤:安装包正常安装即可
2、使用:
来自:http://www.lybbn.cn/data/datas.php?yw=169
(1)启动owasp zap,更新owasp zap的插件
(2)给firefox 浏览器设置http代理(也可以是其他浏览器),默认owasp zap使用8080端口开启http代理
owasp zap 的代理设置可在【工具】-【选项】-【本地代理】中修改
(3)设置好代理后,使用浏览器访问需要审计的网站的每个页面和页面上的每一个功能,特别是一些表单的地方一定要提交一下,所有的功能都手动的尝试一遍,所有的url链接手动全点一遍,所有的结果的包都被owasp zap截取下来
这里以 testphp.vulnweb.com 网站为例,此网站为awvs扫描器专用测试网站(此网站仅供学习使用,请勿非法攻击)
点击页面上的每个链接和功能测试后,owasp zap 中会出现你每个访问的过程和结果
(4)手动爬网后,选择该站点进行owsap zap的自动爬网和forced browse site、forced browse directory、forced browse directory(and children)。owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取(你也可以自定义字典)
以上的目的是尽量的爬行出测试网站的所有链接页面
(5)以上工作做完以后,就可以选择该站点进行主动扫描(active scan)
(6)主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。
最后为验证该漏洞的真实有效性,你可以选择该漏洞点进行相应安全工具再进一步的测试