开放式Web应用程序安全项目(OWASP)是一个在线社区,在Web应用安全领域提供免费的文章,方法,文档,工具和技术
1、安装
Windows下载下来的是exe的,双击就可以了!
唯一需要注意的是:
Windows版本需要运行Java 8或更高版本JDK。
2、本地代理设置
修改owasp zap默认的代理,owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改:
如果端口可用,接下来我们只需要去修改浏览器代理,以Chrome为例:
选择手动代理,并将http代理设为与ZAP一致:
完成这一设置以后,我们再用这个浏览器去访问站点时,都会通过ZAP这个中间人,于是这就给ZAP提供了抓包、分析、渗透测试的可能性。
3、简单攻击
然后我们再去Chrome浏览器上随意访问任何网站,都可以截取到访问的网址,从而实现攻击。
首先:手动爬行网站(点击网站的页面)
主动扫描上面有一些相关 设置,例如:信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置,不是很了解的朋友们只需要用默认的即可!
最后:主要就是查看扫描结果,主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。
4、导出报告
点击报告,选择要生成报告的种类,一般html报告和xml报告为主