当你的才华
还撑不起你的野心时
那你就应该静下心来学习
OWASP_ZAP是kali自带的一款web工具。
使用
扫描结果是否保存
1.保存到默认位置
2.保存到指定位置
3.不保存
插件
更新插件和安装插件
一、截断代理,被动扫描
启动owasp_zap后浏览器代理8080端口
点击小绿点开启截断
二、fuzzy,暴力破解
选定字符串后添加payload可以进行fuzz
payload可以自己输入也可以使用字典(kali中wfuzz下有fuzz常用字典)(owasp也有自带的字典)
三、详细功能
模式
Safe--不会对目标进行有破坏性的扫描
Protected--对指定的目标进行有破坏性的扫描
Standard--进行一些有破坏性的扫描
ATTACK--进行所有扫描
扫描策略
Anti CSRF Tokens
可以在设置中添加额外的csrf tokens
HTTPS代理
安装 设置-Dynamic SSL Certificates中的证书
身份认证
手动认证,即代理截断时通过浏览器认证。
通过表单认证
显示隐藏内容
点击小灯泡使用
四、扫描流程
1.设置代理
2.手动爬网
3.自动爬网
4.主动扫描
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重
