Kali學習筆記26:OWASP_ZAP
文章的格式也許不是很好看,也沒有什麽合理的順序
完全是想到什麽寫一些什麽,但各個方面都涵蓋到了
能耐下心看的朋友歡迎一起學習,大牛和杠精們請繞道
OWASP_ZAP掃描器不同於之前介紹的Web掃描器:
是一個更完善,集成更多功能的Web掃描器,開源免費跨平臺
相比於將要在後邊介紹的一個偉大工具Burpsquite,它會稍顯復雜
OWASP_ZAP的重要性:滲透測試從業者不可忽視的重要的工具
測試場景:滲透掃描DVWA
Kali機器IP:192.168.163.132
Metasploitable靶機IP:192.168.163.129
OWASP_ZAP2.0是Kali自帶的,不像之前介紹的Arachni,需要自己再下載
打開後接受協議,第一次進入需要選擇Session會話配置:
推薦選擇第二個選項,這樣每一次進入就不會是一個全新的會話,而是會加載之前的
找一個目錄來保存OWASP_ZAP的會話信息:
接下來就可以正式開始了:
可以先更新插件和版本,點擊上方工具欄裏面的manage add-ons
一旦啟動了OWASP_ZAP,默認就會啟動代理,這時候就需要到瀏覽器設置(截斷代理):代理8080
我這裏用了FireFox裏面的插件AutoProxy,當然用其他的也無所謂:
這時候,我們用瀏覽器去訪問任何的網站,信息都會被記錄到OWASP_ZAP中:
比如,我輸入了DVWA的賬號和密碼登陸:就可以在OWASP_ZAP看到用戶密碼
設置截斷:只需要按下上邊這個小紅點即可截斷流量,進行分析處理
然後可以手動修改截斷的請求內容:
修改之後想要繼續,可以單步前進,也可以停止截斷:
OK,接下來就看看詳細的使用方法
主動掃描:
簡單的開始
註意:這裏如果沒有身份認證的話,只能掃描很少的一部分,所以可以考慮先進行表單身份認證
當然也可以站點右鍵Attack選擇Active Scan:
註意:這裏有一個默認掃描策略,我們也可以自己設置掃描策略,在工具欄中選擇策略配置即可
至於配置方式,針對不同的掃描可以進行不同的配置,這裏不再多說
Fuzz:
方式:工具選擇Fuzz、或者請求頁面選定字符串右鍵Fuzz
示例:我FUZZer一個login.php:
首先是選中login,然後點擊Add
接下來就是選擇Payload:
可以自己寫字符串來代替:
也可以指定一個字典文本文件:方法一致,選中一個文件即可
甚至可以寫腳本和正則表達式
值得註意的是:File Fuzzer選項:使用OWSAP_ZAP自帶的字典
如果我們要做目錄發現,就可以選中這裏的dirbuster
上邊我Fuzzer的是Get請求,其實也可以用POST請求暴力破解密碼:
既然對POST請求可以Fuzzer,那麽就可以用來嘗試SQL註入漏洞掃描
點擊OK,就可以在下邊一欄看到Fuzzer的過程
如何查看Fuzzer結果呢?
數量少的話,直接肉眼看,數量很大的情況下,我們可以點擊字段名,進行排序,從而簡單地就可以看出結果
然而這兩種方式都無法區分的時候,比如302重定向,只能靠自己的經驗進行判斷了(比如ctrl+F來搜索)
OWASP_ZAP的API:
程序猿可以調用OWASP_ZAP的API來實現定制化編程:
在瀏覽器設置完成代理的情況下:
我們可以訪問http://zap/
查看API文檔的說明:這裏就不多介紹了,有實力的程序猿可以試試開發自己的掃描器
OWASP_ZAP的掃描模式:
掃描模式分為四種:安全模式,受保護模式,標準模式,攻擊模式
可以發現漏洞的數量來看:安全模式最少,攻擊模式最多
我們可以在最左上角來設置掃描模式:
如何來選擇:不要隨便去掃描別人,否則容易掃崩一些脆弱服務,針對不同情況采用不同模式
Anti CSRF Token:
有些安全方面做得好的網站會設置CSRF令牌,限制每一次訪問,都需要有CSRF令牌
這種情況怎麽處理呢?只需要在設置中添加需要的頭名字即可
掃描Https網站註意事項:
代理模式使用瀏覽器打開百度時候,會證書報錯,解決方案:
設置頁面導出證書:
接下來就是用FireFox來導入這個證書:
導入證書之後,就可以訪問到Https網站而不報錯了
身份認證:
首先需要先定義Context,右鍵目標頁面或者目錄,New Context:
然後打開Session Properties:在這裏進行配置
這裏默認配置的是我們通常使用的:只要手動登陸網站,記錄下Cookie供後續使用
當然也可以進行其他的身份認證:
Cookie中自定義Session名處理:
有些安全做得好的網站,會給Cookie中的session定義莫名其妙的名字
OWASP_ZAP可以設置這些自定義的Session:
比如DVWA裏的session有security這個名字,可以在這裏Add
現在查看--》Tab--》Http Session可以看看:
這裏如果有多個Session,有什麽用途呢?
有很大用途:比如我可以右鍵set active,從而實現多個用戶登陸訪問
這裏可以很方便實現多用戶切換,避免了多次復制粘貼
最後不得不提其中的一些小而有用的工具:
比如編碼解碼:在工具欄中可以找到
Kali學習筆記26:OWASP_ZAP