[Pentest] 用 OWASP ZAP 做滲透測試,找尋網站可能的弱點

[Pentest] 用 OWASP ZAP 做滲透測試,找尋網站可能的弱點

最近公司舉辦了類似滲透測試的比賽,正好趁這個機會來玩一下 OWASP 出的 ZAP~

這一篇先簡單拿來來掃瞄一下公開的測試網站 http://demo.testfire.net~

 

1. 安裝 ZAP

到 OWASP Zed Attack Proxy Project 官網的下載頁,有給各種不同平台使用的 ZAP~

不過基本上 ZAP 是用 Java 寫的,所以大部分的平台版本都差不多,

我就直接抓 ZAP 2.5.0 Standard – Cross platform 版了~

抓下來解開到一個目錄下去~

 

2. 執行 ZAP

在解開的目錄下,執行 ./zap.sh 就能把 ZAP 叫起來了~

首先會問你是否要將分析的 session 存起來,我是選要存,並且讓我自己選擇儲存位置:

Screen Shot 2016-11-09 at 11.43.20 PM

 

設定一下要儲存的路徑與檔名:

Screen Shot 2016-11-09 at 11.44.15 PM

 

接著就進入 ZAP 的主畫面了~

按下 Quick Start 頁籤,這邊可以輸入一個 URL 就開始嘗試攻擊,

我們就拿 http://demo.testfire.net 來試試看,按下 Attack 開始打:

Screen Shot 2016-11-09 at 11.44.59 PM

 

攻擊需要一些時間,當完成的時候,會在左下角顯示出找到的問題~

這些問題通常是「疑似」問題,至於是不是真的有問題,還是得人工去確認:

Screen Shot 2016-11-10 at 12.12.37 AM  

 

從上面的結果來看,找到了不少的問題,

其實也可以從這些結果,來學習一些滲透測試可以使用的技巧,

像是看 ZAP 是如何在參數裡添加字串製作 XSS 或是 SQL injection 等等,也挺有趣的喔~

 

參考資料:Adding authentication in ZAP tool to attack a URL

 

(本頁面已被瀏覽過 11,048 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料