漏洞扫描工具OWASP ZAP的下载、安装、使用教程

  • Post author:
  • Post category:其他


最新需要用到owasp工具进行漏洞扫描,发现安装的kali虚拟机没有自动安装owasp,由于内网环境,也无法联网下载,网上找的操作步骤也良莠不齐,无法操作,索性自己总结一下。

owasp介绍

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。

ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。

一、owasp下载

安装包下载地址:https://www.zaproxy.org/download/

github地址:https://github.com/zaproxy/zaproxy/wiki/Downloads

可以下载win、linux版本

二、owasp安装

1、 windows安装

windowns的安装包下载下来后,是exe的可执行程序,点击安装即可。

安装完成桌面图标如下:

报错解决

1、报错问题:提示缺少java runtime Environment 11.0,但是查看jdk版本发现,已经安装的就是jdk11

2、解决:在安装目录中双击运行  zap.bat

3、等运行完毕,直接打开

2、 linux安装

linux 包下载下来后是ZAP_2.12.0_unix.sh,

直接拖入或者拷贝到linux服务器指定目录下如/usr目录下,无需解压,在Linux系统下运行.sh文件有需要给它权限,使用命令

chmod u+x ZAP_2.12.0_unix.sh


进入/usr 目录下,可以看到有zap.sh脚本;

执行脚本即可启动。命令如下,自动开始运行,弹出安装框,安装过程和win一样。

./ZAP_2_12_0_unix.sh

安装完成,在04-web程序中最后会显示ZAP。

如果linux下没有安装桌面模式,可以执行sh zap.sh -cmd,采用cmd模式启动zap。

默认启动8080端口。

sh zap.sh -cmd -h 查看帮助文档。

三、owasp使用

首页面展示

1、自动扫描

输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。

2、点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:

3、有进度条可以显示扫描进度,扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情:



版权声明:本文为qq_37776764原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。