最新需要用到owasp工具进行漏洞扫描,发现安装的kali虚拟机没有自动安装owasp,由于内网环境,也无法联网下载,网上找的操作步骤也良莠不齐,无法操作,索性自己总结一下。
owasp介绍
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
一、owasp下载
安装包下载地址:https://www.zaproxy.org/download/
github地址:https://github.com/zaproxy/zaproxy/wiki/Downloads
可以下载win、linux版本
二、owasp安装
1、 windows安装
windowns的安装包下载下来后,是exe的可执行程序,点击安装即可。
安装完成桌面图标如下:
报错解决
1、报错问题:提示缺少java runtime Environment 11.0,但是查看jdk版本发现,已经安装的就是jdk11
2、解决:在安装目录中双击运行 zap.bat
3、等运行完毕,直接打开
2、 linux安装
linux 包下载下来后是ZAP_2.12.0_unix.sh,
直接拖入或者拷贝到linux服务器指定目录下如/usr目录下,无需解压,在Linux系统下运行.sh文件有需要给它权限,使用命令
chmod u+x ZAP_2.12.0_unix.sh
进入/usr 目录下,可以看到有zap.sh脚本;
执行脚本即可启动。命令如下,自动开始运行,弹出安装框,安装过程和win一样。
./ZAP_2_12_0_unix.sh
安装完成,在04-web程序中最后会显示ZAP。
如果linux下没有安装桌面模式,可以执行sh zap.sh -cmd,采用cmd模式启动zap。
默认启动8080端口。
sh zap.sh -cmd -h 查看帮助文档。
三、owasp使用
首页面展示
1、自动扫描
输入要攻击的完整URL,可以选择勾选spider,ZAP提供spider进行Web的页面扫描,发现所有的页面。对于AJAX应用程序,可使用AJAX spider。点击“攻击”开始扫描。
2、点击攻击后,ZAP便开始爬取Web应用程序,展示扫描的进度与每个页面的请求和响应:
3、有进度条可以显示扫描进度,扫描完成后,可在“警报”TAB中查看潜在安全漏洞与详情: