使用ZAP寻找敏感文件和目录

OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言编写。

是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本章中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。 

目标完成:

为了使这个程序工作,需要使用ZAP作为Web浏览器的代理。

1. 在Kali Linux中启动OWASP ZAP。

找到owasp zap后,点击左键从而启动该程序 

 

2. 打开OWASP ZAP,将ZAP中的代理端口由8080改为8088。--修改代理服务器参数

点击Start进入

点击Tools,找到Options,点击进入

下拉滚动条,找到Network,鼠标左键点击,将Port端口改为8088,点击OK完成

 

 更改的原因:

默认情况下,它使用端口8080, 这是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理

3.1. 修改kali linux中firefox的代理参数-方法一 

点击右上角三横图标,找到settings并单击左键

进入firefox浏览器页面,下拉到最下面,点击settings

选择Manual proxy configuration,在HTTP Proxy中输入:127.0.0.1,在Port中输入8088

在No proxy ror中输入:localhost,127.0.0.1,点击OK完成

3.2. 修改kali linux中firefox的代理参数-方法二 (略)

使用FoxyProxy插件设置多个代理,切换他们只需要点击一下

3.3 修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。

拿买火车票打比喻:配置了代理后,Firefox要去买火车票就必须通过ZAP,Firefox自己不能去买火车票。代购/票贩子/黄牛党。

4. 在kali linux中使用firefox打开靶场网页http://192.168.242.132,再点击页面中的WackoPicko,观察过程中ZAP的情况。

观察靶场的IP地址,靶场的IP是192.168.242.132,网站是http://192.168.242.132

输入靶机IP地址,进入靶场找到目标网站

注意,此时zap中产生了数据

5. 在底部面板中,我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。

总结:

代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到想要浏览网页的服务器,而是发送到定义的地址。然后ZAP将请求转发给服务器,但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同,需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。如果文件存在,服务器将相应地做出响应,如果它们不存在或者当前用户无法访问,则服务器将返回错误。

 

 

 

 

 

 

 

 

 

 

 

 

...全文
47 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复

1,364

社区成员

发帖
与我相关
我的任务
社区描述
柳职院电子信息工程学院同学们的学习园地
社区管理员
  • c_university_1974
  • qq_39231145
  • zhuisir
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

各位加入社区的同学,请完善社区信息,把社区昵称改为【班级-姓名】,社区签名改为【班级-学号-姓名】的格式

如【社区昵称】20计应1班  张某某(班级用简称)

     【社区签名】2020级计算机应用技术1班 20201234567 张某某 (班级用全称)

试试用AI创作助手写篇文章吧