OWASP Zed攻击代理

El Zed攻击代理（ZAP） 是写在上面的免费工具 爪哇岛 来自（哪里 OWASP项目 首先在Web应用程序中进行渗透测试，尽管开发人员也可以在日常工作中使用渗透测试。 到目前为止，它的版本为2.1.0，并且需要 Java 7的 运行，尽管我在 Debian GNU / Linux 巴霍 OpenJDK 7。 对于那些刚开始使用Web应用程序安全性的人们来说，它是提高我们技能的绝佳工具。

在众多功能中 ZAP，我将对以下内容发表评论：

• 拦截代理： 以正确的方式配置此安全领域中的新手的理想之选，它允许查看当前浏览器与Web服务器之间的所有流量，并以简单的方式显示HTTP的标头和正文消息，无论使用哪种方法（HEAD，GET，POST等）。 另外我们可以 在两个通信方向（Web服务器和浏览器之间）随意修改HTTP通信。
• 蜘蛛： 它是一项功能，可帮助您在经审核的站点上发现新的URL。 它执行此操作的方法之一是解析页面的HTML代码以发现标签。 并遵循其属性 href。
• 强制浏览： 尝试发现站点上未编入索引的文件和目录，例如登录页面。 为此，默认情况下它具有一系列字典，这些字典将用于向等待的服务器发出请求 状态代码 反应200。
• 主动扫描： 它会自动针对该站点生成各种Web攻击，例如CSRF，XSS，SQL注入。
• 和许多其他： 实际上，还有许多其他功能，例如：支持2.0.0版以上的Web套接字，AJAX Spider，Fuzzer以及其他一些功能。

使用Firefox进行配置

我们可以配置套接字，ZAP将通过该套接字监听 工具->选项->本地代理。 就我而言，我在端口8018上监听它：

配置«本地代理»

然后，我们打开Firefox首选项，我们将 高级->网络->配置->手动代理配置。 我们指示以前在ZAP中配置的套接字：

在Firefox中配置代理

如果一切顺利，我们将把所有HTTP流量发送到ZAP，它将负责重定向它，就像代理一样。 例如，我从浏览器输入此博客，并查看ZAP中发生了什么：

ZAP概述

我们可以看到已经生成了100多个HTTP消息（大多数使用GET方法）来完全加载页面。 正如我们在标签中看到的 网站 不仅为该博客产生了流量，而且还产生了其他页面的流量。 其中之一是Facebook，它是由页面底部的社交插件生成的«在Facebook上关注我们”。 也做了 Google Analytics 表示存在该工具，用于网站管理员对该博客的统计数据进行分析和可视化。

我们还可以详细观察交换的每个HTTP消息，让我们看看当我输入地址时此博客的Web服务器生成的响应 http://desdelinux.net 选择其各自的HTTP GET请求：

HTTP消息详细信息

我们注意到 状态代码 301，指示重定向到 https://blog.desdelinux.net/.

ZAP 成为极好的完全免费的替代产品 打嗝套件 对于我们这些在网络安全这个激动人心的世界中开始的人们，我们一定会在这个工具的最前沿花费数小时来学习不同的网络黑客技术， 我携带一些。 😛