El Zed攻擊代理(ZAP) 是寫在上面的免費工具 Java的 來自(哪裡 OWASP項目 首先在Web應用程序中進行滲透測試,儘管開發人員也可以在日常工作中使用滲透測試。 到目前為止,它的版本為2.1.0,並且需要 Java的7 運行,儘管我在 Debian GNU / Linux 低 OpenJDK 7。 對於那些剛開始使用Web應用程序安全性的人來說,它是提高我們技能的絕佳工具。
在眾多功能中 ZAP公司,我將對以下內容髮表評論:
- 攔截代理: 以正確的方式配置此安全領域中的新手的理想之選,它可以查看當前瀏覽器與Web服務器之間的所有流量,並以簡單的方式顯示HTTP消息的標頭和正文,無論使用的方法(HEAD,GET,POST等)。 另外我們可以 在兩個通信方向(Web服務器和瀏覽器之間)隨意修改HTTP通信。
- 蜘蛛: 此功能有助於發現已審核站點上的新URL。 它執行此操作的方法之一是解析頁面的HTML代碼以發現標籤。 並遵循其屬性 href。
- 強制瀏覽: 它嘗試發現站點上未編入索引的文件和目錄,例如登錄頁面。 為此,默認情況下它具有一系列字典,這些字典將用於向等待的服務器發出請求 狀態碼 反應200。
- 主動掃描: 它會自動針對該站點生成各種Web攻擊,例如CSRF,XSS,SQL注入。
- 還有許多其他: 實際上,還有許多其他功能,例如:支持2.0.0版以上的Web套接字,AJAX Spider,Fuzzer以及其他一些功能。
使用Firefox進行配置
如果要執行以下操作,我們可以配置ZAP將通過其監聽的套接字 工具->選項->本地代理。 就我而言,我在端口8018上監聽它:
然後,我們打開Firefox首選項,我們將 高級->網絡->配置->手動代理配置。 我們指示以前在ZAP中配置的套接字:
如果一切順利,我們將把所有HTTP流量發送到ZAP,這將像其他代理一樣處理重定向。 作為示例,我從瀏覽器輸入此博客,讓我們看看ZAP中發生了什麼:
我們可以看到已經生成了100多個HTTP消息(大多數使用GET方法)來完全加載頁面。 正如我們在標籤中看到的 網站 不僅為該博客產生了流量,而且還產生了其他頁面的流量。 其中之一是Facebook,它是由頁面底部的社交插件生成的«在Facebook上關注我們”。 也做了 Google Analytics 表示存在該工具,用於網站管理員對該博客的統計數據進行分析和可視化。
我們還可以詳細觀察交換的每個HTTP消息,讓我們看看當我輸入地址時此博客的Web服務器生成的響應 http://desdelinux.net 選擇其各自的HTTP GET請求:
我們注意到 狀態碼 301,指示重定向到 https://blog.desdelinux.net/.
ZAP公司 成為極好的完全免費的替代產品 打嗝套件 對於那些剛開始在這個令人興奮的網絡安全世界中生活的人們,我們一定會花大量時間在此工具前學習各種網絡黑客技術, 我攜帶一些。 😛
這是我必須做的事情,比任何事情都更能證明我所做的事情。
這很有趣
這個工具看起來比 Microsoft Network Monitor 更完整。 感謝您的貢獻。
非常好,非常感謝您提供的信息和解釋。
問候。
恕我直言,我認為這些工具應該出於安全目的而保留,而不是發佈在 Linux 博客上。 有些人可能會不負責任或無意識地使用它。
這些工具始終是雙刃工具,因為它們被好人和壞人使用,不幸的是這是無法避免的。 OWASP ZAP 是 Web 安全領域 EH 社區認可的工具,用於 Web 審計。 請記住:“能力越大,責任越大。”
我發表這篇文章是因為我正在自學,以便將來提供 EH 服務,我認為其他讀者也會對此感興趣。 目的不是他們非法使用它,遠非如此,因此在帖子開頭髮出警告。
您好!
PS1 -> :這很可疑:檢測到巨魔? 我有疑問……
PS2 -> 哈哈哈,請不要讓這從現在開始變成像其他帖子中那樣的激烈戰爭。