title: OWASP_ZAP
date: 2016-10-13 20:50
tags: Kali渗透测试 Web渗透测试

0x00 OWASP_ZAP

Zend attack proxy 是一款 web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。

OWASP_ZPA 支持截断代理，主动、被动扫描，Fuzzy，暴力破解并且提供 API。

OWASP_ZPA 是Kali Web Top 10 之一。

0x01 截断代理

首次启动 OWASP_ZAP　会提示是否将 session 进行保存，以及如何保存。

首次启动页面.png

OWASP_ZAP 默认监听的是 8080 端口，并且在启动 ZAP 的时候便会自动开始监听。

如此，只需设置浏览器代理，ZAP 便会自动爬取所有数据。

Proxy.png

0x02 主动扫描

ZAP 最简单的使用方式便是在首页直接输入目标 Target 然后点击 攻击 便会开始主动扫描了。

scan.png

0x03 Fuzzer

通过右键选择某个特定页面进行 Fuzzer。

Fuzzer.png

此外，也可以选择工具菜单中的 Fuzz 进行 Fuzzing 。

Paste_Image.png

Fuzzer.png

数据库注入 Fuzzing

选择可能存在 SQL 注入的可疑字符串，为其添加 PayLoads 记性 SQL Injection Fuzzing。

SQL Injection Fuzzing.png

fuzzing 完整以后，可以通过 Code ,Size Resp.Header 等字段属性对 fuzzing 的结果进行筛选。

Fuzzing结果筛选.png

页面目录Fuzzing

首先选中需要替换的字符串，然后点击 Fuzz Locations 中的 Add 选中以选择 fuzzing 的方式。

fileFuzzing.png

我们可以使用 字符串，脚本，正则表达式，文本文件或 ZAP 自带的 File Fuzzer 去搜索网站目录。

网站目录页面Fuzzing.png

0x04 暴力破解

暴力破解.png

但是，当我们使用一个字典文件去尝试暴力破解的时候，如何去识别出破解成功与不成功的不同差异，便只有依靠上帝了。

0x05 ZAP 的 API

API 是一程序开发的接口。ZAP 提供API 一便让开发者使用ZAP 以定制自己的扫描程序。

ZAP 的 API 使用文档:[ http://zap]

0x06 Mode(扫描模式)

ZAP 有四种扫描模式 Safe, Protected, Standard, Attack（攻击似的扫描）。 扫描所得的漏洞数量以次递增。

Mode

0x07 Scan Policy (扫描策略)

选择特定页面进行 Active Scan :

Active Scan

ZAP 继承了一个默认的扫描策略 Default Policy:

Default Policy

当然，我们可以定制自己的扫描策略，在 顶部导航 分析 中的扫描策略(或者Ctrl+P) 打开 Scan Policy Manager 添加或修改自己的扫描策略。

Scan Policy Manager

如此，我们便可以在以后的网站扫描配置中选择自定义的扫描策略了。

0x08 Anti CSRF Tokens

某些应用程序为了防止 CSR 攻击，在每次访问时都会随机生成一个新的 Token。这些由伪随机算法生成的随机数也许大部分的扫描器都不支持。所以我们可以通过 ZAP 的 Anti CSRF Tokens 功能添加该网站的特定的 Tokens(如果该网站有 Token 的话)。

Anti CSRF Tokens

what's token?
在OAuth协议中，token是在输入了用户名和密码之后获取的，只不过是服务器或者说网站帮你生成的临时密码。利用这个token你可以拥有查看或者操作相应的资源的权限。你有这些权限，是因为服务器知道你是谁（authentication）以后赋予你的，所以token这个东西，其实就是你的一个“代表”，或者说完全能代表你的“通行证”。从这个概念来说，“令牌”这个翻译，真的是非常的“信雅达”啊

0x09 HTTP -CA

首先生成并保存 ZAP 的http 证书。

HTTP -CA

然后在浏览器中导入 ZAP 的根证书。

0x0A ZAP 身份认证

在 ZAP 中最常用的 身份认证是使用 HTTP Session 的认证方式。当然 ZAP 也是支持其它认证方式的，并且我们可以在 Session Properities 中进行配置。

Authentication

由上图可知，目前 ZAP 支持四种身份认证方法: Form,HTTP/NTLM, Manual,Script-based。

默认情况下，一个 Muaual 认证方式就足够了，也是最简单易用的方式。

HTTP Session

ZAP 在默认情况下只会将其内置的几个 session 名称识别为 HTTP Session。但是，某些情况下，有的网站也许会自定义自己的 session 名称，这时我们有必要手动为其添加自定义的 session 标识。

HTTP Session

添加自定义的 Security

0x0B 截断

ZAP 可以实时截断从客户端发起的请求或者从服务器端回传的响应。

Set Break

0x0C 隐藏域

以微软搜索引擎 必应为例，未开启隐藏域时访问的眼如下:

BiYing

开启 ZAP 的隐藏域显示功能:

Paste_Image.png

0x0D 总结

标准扫描工作流程: 设置代理 --> 手动爬网 --> 自动爬网 --> 主动扫描.