Web安全—Web漏扫工具OWASP ZAP安装与使用

本文仅用于安全学习使用！切勿非法用途。

一、OWASP ZAP简介

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目，也是旗舰项目，全称是OWASP Zed attack proxy，是一款web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。
ZAP是一个中间人代理，浏览器与服务器的任何交互都将经过ZAP，ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站：

https://www.zaproxy.org/download/
1

二、OWASP ZAP安装

① ZAP支持在Windows、Linux、MacOS等平台上运行，可以在官网直接下载数据包，Windows和Linux版本需要运行Java 8或更高版本。

② Kali Linux系统中，内置了ZAP软件，可直接使用：

三、OWASP ZAP使用

• 保持会话

保存会话会将会话结果记录到数据库中，不保存则会在退出ZAP时被删除。

• 用户界面
  

• 自动扫描
  点击“快速开始”–>“Automated Scan”，输入要攻击的完整URL，可以选择勾选spider，ZAP提供spider进行Web的页面扫描，发现所有的页面。对于AJAX应用程序，可使用AJAX spider。点击“攻击”开始扫描。
  

• 扫描结果
  点击攻击后，ZAP便开始爬取Web应用程序，展示扫描的进度与每个页面的请求和响应：
  

扫描完成后，可在“警报”TAB中查看潜在安全漏洞与详情：

• 手动探索
  在快速开始界面，点击“Manual Explore”手动探索，输入要探索的Web应用程序的URL，选择需要使用的浏览器，点击启动浏览器：
  

ZAP提供了HUD功能，是一种可以直接在浏览器中访问ZAP的 功能，可以在访问Web时，提供关键的安全信息和功能：

此时便可与浏览器交互登录等操作的同时，ZAP进行同步探索：

点击不同的页面，右下角会弹出已扫描出的漏洞告警。

将页面尽可能遍历后，查看站点树，会将有警报的站点标识出来：

• 单目标攻击
  右键站点树的某个子路径，可对单个目标进行“攻击”：
  

使用“爬行”、“强制浏览网站”、“强制浏览目录”、“强制浏览目录和子页面”将页面路径记录的更全，然后再使用“主动扫描”等其他方式进行进一步的测试。

• 生成报告
  所有扫描完成后，点击“报告”，生成HTML报告：