一款免费开源安全检测工具
简介
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使⽤可信赖软件。开放式Web应用程序安全项目(OWASP)是一个非盈利组织,不附属于任何企业或财团。
项目种类
因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响,现在OWASP每年超过600W访问者,拥有了93个活跃项目。在OWASP的官网中所有的项目主要分为了三种:
Tool Projects(工具类项目):工具类项目提供了各种各样的安全扫描工具,ZAP就是其中之一。
Documentation Projects(文档类项目):文档类项目提供的是安全扫描的各种文档类指导。
Code Projects(代码类项目):代码类项目则是OWASP维护的开源工具代码。
声明注意:本文仅供学习和研究,坚决反对一切危害网络安全的行为。造成法律后果自行负责。
01、安装
sudo apt-get install zaproxy -y
安装完成之后打开
02、设置代理
打开浏览器,配置一下代理
zap默认端口8080,如果冲突可以更改
在这个特定的浏览器里,你能够开启、关闭扫描,查看报告,查看告警等多种功能。在所有的扫描中ZAP主要做了以下几件事:
使用爬虫抓取被测站点的所有页面;
在页面抓取的过程中被动扫描所有获得的页面;
抓取完毕后用主动扫描的方式分析页面,功能和参数。
地址为靶场地址,(只供学习和研究,切勿危害网络安全)
扫描出来的url
选择需要模式
在执行完渗透扫描后,ZAP还能提供多种形式的报告,包括XML、HTML、Markown、JSON格式,方便基于数据去做二次开发。在HTML报告中,能清晰的看到所有的告警描述、告警地址、请求方法、解决方案等信息,方便指导安全人员,开发人员解决告警。更多功能自己探索。
文章来源:嘉为蓝鲸
如果我们的文章对你有帮助,就把我们“设为星标”吧!
↓↓↓
3秒加星标,这样就不容易错过文章推送啦!
往期回顾
请长按下方图片
识别二维码 关注河北镌远
为客户创造价值
与客户共同成长
