テスト ツール OWASP ZAP のインストールと使用
プロジェクトのテスト ツールは主に owasp zap と appcan の 2 つのツールを使用してセキュリティ テストを行い、テスト部門にテストを提出してテストを行う一方で、開発部門自体もツールを使用して関連する問題を修正およびテストしています。これを踏まえて、この記事では、その後の継続的な使用を容易にし、後発者の参考となるように、owasp zap ツールの関連情報と実際のインストールおよび使用プロセスを簡単に紹介します。それらを修正してください!
1. コンセプト紹介
1.1 OWASP
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织,
致力于应用软件的安全研究,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。
其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。
其目的是协助个人、企业和机构来发现和使用可信赖软件。
开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。
1.2 OWASP ZAP
ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,
是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
OWASP ZAP是世界上最受欢迎的免费安全工具之一。
ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。
另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
2. ダウンロードしてインストールする
2.1 ダウンロード
https://www.zaproxy.org/download/
https://github.com/zaproxy/zaproxy/releases/download
2.2 インストール
- 設置環境
windows环境:Windows Server 2019 Standard
jdk版本:jdk-8u281-windows-x64.exe
ZAP版本:ZAP_2_10_0_windows.exe
- インストール手順
windows下安装,exe文件执行,下一步即可完成安装。
注意:ZAP依赖于jdk环境,需要预先安装jdk。
3. 使い方
3.1 ローカルプロキシ設定
给Chrome浏览器设置http代理,owasp zap默认使用8080端口开启http代理;
Chrome浏览器,设置 -- 高级 -- 系统 -- 代理,然后进入windows 网络和Internet 代理中,
或者直接进入windows进行设置:windows--设置--代理;
如果想修改owasp zap默认的代理,owasp zap的代理设置可在 工具 -- 选项 -- 本地代理 中修改。
3.2 単純攻撃
Chrome ブラウザーで任意の Web サイトに自由にアクセスする人は誰でも、アクセスした URL を傍受して攻撃を実現できます。
1) ウェブサイトをクロールする
手动爬行网站后,选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children),尽量的爬行出网站的所有链接页面!
2) アクティブ スキャン
3) スキャン結果
アラート インターフェイスを表示し、特定のアラート リスト コンテンツをクリックすると、リスク レベル、攻撃方法、関連するパラメーター、解決策の提案、およびアラートの関連コンテンツが右側に表示されます。関連するプロンプト情報に従って、プロジェクトに関連する構成を調整することにより、システムのセキュリティを向上させることができます。
4.参考文献
[1] https://www.zaproxy.org/
[2] https://blog.csdn.net/wxh0000mm/article/details/104450024