新しくタスクを受け取りました。OWASPZAPを試してください。
ツールの説明
ZAproxy は、Web アプリケーションの脆弱性マイニングのための使いやすいインタラクティブな侵入テストツールで、SQL インジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、パストラバーサルを検出できます。
ダウンロードアドレス
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
ツールの説明
ZAproxy は、Web アプリケーションの脆弱性マイニングのための使いやすいインタラクティブな侵入テストツールで、SQL インジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、パストラバーサルを検出できます。
ダウンロードアドレス
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
基本設定
lメニューバー->>ツール->>オプション->>ローカルエージェント(つまり、ローカルエージェントによってテストされます)
lメニューバー->>ツール->>オプション->>接続(タイムアウト時間とネットワークプロキシの設定、認証)
lメニューバー->>ツール->>オプション->>スパイダー(接続スレッドの設定など)
lメニューバー->>ツール->>オプション->>ブルートフォースクラッキング(辞書ファイルをここにインポートできます)
lメニューバー->>分析->>スキャン戦略(スキャン戦略の設定)
ブラウザのプロキシとしてZAPを設定する
例としてクローム(ウィンドウズ)を取ります
ブラウザーの右上隅(お気に入りの横)にある[設定]をクリックします。
設定をクリック
詳細オプションをクリックします
[ネットワークの変更]プロキシサーバーの設定をクリックします
Connect-LAN設定をクリックします
プロキシサーバー-チェックしてLANにプロキシサーバーを使用します。デフォルトは127.0.0.1/8080
よし
機能
アクティブスキャン
アクティブスキャンは、OWASP ZAPの最も強力な機能の1つです。対象のWebサイトで侵入テストを自動的に開始できます。検出できる欠陥には、パストラバーサル、ファイルのインクルード、クロスサイトスクリプティング、SQLインジェクションなどがあります。
クイックスキャンを開始する
lクイックスタートをクリック
l攻撃のターゲットURLを入力します
l以下に示すように、「攻撃」をクリックします。
クイックスキャンは自動的にスパイダースキャンとアクティブスキャンを開始します
スパイダースキャン:
アクティブスキャン:
スキャン結果:
警告カテゴリをクリックすると、現在のウェブサイトに対応する警告情報が表示されます。上の図に示すように:
サイトを通じてスキャンを開始する
l ZAPをブラウザプロキシとして設定する
l OWASP ZAPを開く
lターゲットURLへのブラウザアクセス
l ZAPサイトのターゲットURLを右クリックし、ActiveScanを選択してスキャンを開始します。以下に示すように:
この方法を使用すると、Webサイトでスパイダークロールやその他の操作を開始して、有効なURLリンクを見つけることもできます。
コマンドラインからスキャンを開始する
lコマンドラインで、OWASPZAPがあるインストールディレクトリを入力します(例:C:\ Program Files(x86)\ OWASP \ Zed Attack Proxy)
l次のコマンドを実行してスキャンを開始します。
C:\ ProgramFiles(x86)\ OWASP \ Zed Attack Proxy> zap.bat -cmd -quickurl http://192.168。40.160:8080 / codesafe -quickout d:\ report.xml
その中で:http://192.168.40.160:8080/codesafeはスキャン対象のWebサイトです
d:\ report.xmlはレポートのエクスポートパスです
ZAPコマンドパラメータ:
パラメータ |
説明する |
-cmd |
ZAPを「インライン」で、つまりUIやデーモンを起動せずに実行します |
-config |
構成ファイル内の指定されたkey = valueペアをオーバーライドします |
-デーモン -dir -installdir
-h
-ホスト -港 -バージョン 新しいセッション -セッション |
「デーモン」モードで、つまりUIなしでZAPを起動します デフォルトのディレクトリの代わりに指定されたディレクトリを使用します 指定されたディレクトリでZAPがインストールされている場所を検出するコードを上書きします アドオンによって追加されたものを含む、使用可能なすべてのコマンドラインオプションを表示します 構成ファイルで指定されたプロキシに使用されるホストを上書きします 構成ファイルで指定されたプロキシに使用されるポートを上書きします ZAPバージョンを報告します 指定された場所に新しいセッションを作成します ZAPの開始後に指定されたセッションを開きます |
レポートをエクスポートする
l [レポート]をクリックします
l HTMLレポートまたはXMLレポートの生成を選択します
l図に示すように、保存パスを選択します。
レポートのスタイル(HTML):
レポートスタイル(xml):