1. 配置浏览器代理
默认zap监听127.0.0.1的8080端口
配置完浏览器后,开启zap,通过浏览器点击一些连接来检查是否成功。通过site标签可以看见浏览过的网址
拦截数据流
现在我们看看zap如何连接数据流。使用 http://zero.webappsecurity.com/,这是一个demo使用的网站。在site部分,右击想扫描的网址,点击break。弹出一个对话框,点击save。现在zap拦截去往这个服务器的每一个请求。
先现在点击任何其他链接,从break标签中可以观察到请求被捕获。可以在点击play把请求转发到服务器之前修改这个请求。现在观察到响应也被截获。点击play来把请求转发到浏览器。就是这么简单。
扫描网站
爬虫
如同之前解释的,通过zap浏览的网站自动显示在site标签中。所以在扫描之前确保你浏览过目标网站的连接,填写表单,提交。在浏览可见的连接后,使用spider选项来自动爬其他的连接。在site标签中,点击右键,选择attack中的spider选项。
爬虫会自动发现隐藏链接。新发现的连接将会显示在spider标签中。
主动扫描
可以在alert部分发现漏洞。该部分显示工具识别出来的安全问题。如下图所示,zap识别出各种问题,例如xss,密码自动完成,文件夹浏览等。注意主动扫描可能不会发现某些问题例如敏感信息泄漏,密码存储等。
看看配置扫描。主动扫描可以通过Tools->Options->Active scan来配置。
被动扫描
被动扫描不同于主动扫描的地方在于被动扫描不改变来自服务器的任何配置。被动扫描仅仅查看响应来识别漏洞。所以被动扫描很安全。
被动扫描查找不安全或没有cache-control,以及HTTP Header, Content-Type头缺失,cookie的没有http-only标志,cookie的没有secure标志,跨域javascript代码包含,CSRF,IE8 XSS过滤包含,信息泄漏-url中的敏感信息,HTTP ref中敏感信息,密码自动补全,弱认证,X-Content-Type-Option头缺失,X-Frame-Option头没设置。
分析结果
当点击一个漏洞,它对应的危险性也会显示
报告
Report => Generate HTML Report然后选择一个指定地方来存储报告。
zap还有其他特性
端口扫描-在port scan选项中配置,可以选择最大扫描端口数。
编码/解码hash
fuzzing
zap扩展
下面链接提供ZAP扩展。下载他们,把他们放到zap插件文件夹,重启zap。可以发现zap插件LDAP,session fixation等等。
http://code.google.com/p/zap-extensions/
例如下载SQL Injection Scanners插件(包含MySQL, Hypersonic/HSQL, Oracle, and PostgreSQ)。把它copy到zap安装目录中的plugin文件夹下。重启zap,发现插件导致scan策略中测试数量的增加。
