(1)启动owasp zap,更新owasp zap的插件安全
在installed栏位,在更新列里有更新字样的即为官网更新的插件,能够选中进行更新服务器
在marketpace栏位,有release(较稳定)/Beta(已上线供市场检测稳定性)/alpha(内测阶段)版的插件可下载,建议能够下载release(较稳定)/Beta(已上线供市场检测稳定性)插件,alpha可能会误判工具
(2)给google浏览器设置http代理(也能够是其余浏览器),默认owasp zap使用8080端口开启http和https代理学习
owasp zap 的代理设置可在【工具】-【选项】-【本地代理】中修改测试
(3)owasp zap 代理https网站证书不信任问题
owasp zap 进行代理时,浏览器访问https的网站,owasp zap 使用本身的证书与浏览器创建ssl链接,因为owasp zap证书不受信任,所以须要把owasp zap的证书手动导出(cer格式的证书),导入到浏览器中便可
为啥要导入证书:https://github.com/fwon/blog/issues/38
处理方法:
A、导出owasp zap的证书的方法【设置】-【dynamic ssl certificates】
B、在浏览器里导入证书,以google浏览器为例子
浏览器设置-高级-证书管理,导入A中保存的证书,以下:
证书可能导入了以后仍是显示不信任,须要修改为信任
(4)设置好代理后,使用浏览器访问须要审计的网站的每一个页面和页面上的每个功能,特别是一些表单的地方必定要提交一下,全部的功能都手动的尝试一遍,全部的url连接手动全点一遍,全部的结果的包都被owasp zap截取下来
这里以 testphp.vulnweb.com 网站为例,此网站为awvs扫描器专用测试网站(此网站仅供学习使用,请勿非法攻击)
点击页面上的每一个连接和功能测试后,owasp zap 中会出现你每一个访问的过程和结果
(5)手动爬网后,选择该站点进行owsap zap的自动爬网和forced browse site、forced browse directory、forced browse directory(and children)。owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取(你也能够自定义字典)
以上的目的是尽可能的爬行出测试网站的全部连接页面
(5)以上工做作完之后,就能够选择该站点进行主动扫描(active scan)
(6)主动扫描后,针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。
最后为验证该漏洞的真实有效性,你能够选择该漏洞点进行相应安全工具再进一步的测试