什么是 OWASP ZAP？

OWASP ZAP 是一种渗透测试工具，可帮助开发人员和安全专业人员检测和查找 Web 应用程序中的漏洞。OWASP ZAP 执行多种安全功能，包括：

• 被动扫描网络请求
• 使用字典列表搜索 Web 服务器上的文件和文件夹
• 使用爬虫识别网站的结构并检索所有链接和 URL
• 在浏览器和 Web 应用程序之间拦截、显示、修改和转发 Web 请求

OWASP ZAP 可以识别 Web 应用程序中的漏洞，包括身份验证受损、敏感数据暴露、安全配置错误、SQL 注入、跨站点脚本 (XSS)、不安全的反序列化以及具有已知漏洞的组件。

在本文中：

• OWASP ZAP 工具的 6 项关键功能
  • 1. 主动扫描与被动扫描
  • 2. 运行扫描：桌面与 API
  • 3.经过身份验证的安全扫描
  • 4.WebSockets
  • 5.OWASP ZAP 模糊器
  • 6.AJAX 蜘蛛
• OWASP ZAP 教程：安装和初始配置

OWASP ZAP 工具的 6 项关键功能

ZAP 位于 Web 应用程序和渗透测试客户端之间。它充当代理，捕获传输的数据并确定应用程序如何响应可能的恶意请求。各种技能水平和工作角色的专业人员都可以使用 OWASP ZAP。

1. 主动扫描与被动扫描

ZAP 提供两种类型的扫描：主动扫描和被动扫描。被动扫描检查 HTTP 请求和应用程序响应是否存在已知的安全漏洞指标，并且无法对请求进行更改。主动扫描可以创建和修改发送到应用程序的请求，发送测试请求以发现使用被动扫描无法捕获的漏洞。

通常认为主动扫描在查找应用程序漏洞方面更有效，因为测试套件会注入各种显示漏洞的请求。但是，这些扫描会主动尝试攻击应用程序，并可能创建或删除数据。

被动扫描的风险较低，因为它们无法更改数据。然而，这些扫描无法捕获许多漏洞，包括 SQL 注入 (SQLi) 等攻击性漏洞。

2. 运行扫描：桌面与 API

您可以将 OWASP ZAP 部署为桌面应用程序或通过 API 自动部署，具体取决于您打算如何使用 ZAP。安全分析师和渗透测试人员经常利用桌面应用程序运行一次性测试来检测漏洞。软件开发和安全团队通常通过自动化部署 ZAP，以确保对应用程序及其 API 进行定期安全测试。

3.经过身份验证的安全扫描

许多 Web 应用程序需要身份验证。在这种情况下，必须在运行扫描之前在 ZAP 中配置身份验证。否则，检查将不会测试任何路径或位于身份验证保护后面的路径。

ZAP支持多种身份验证格式，包括基于表单的身份验证、基于脚本的身份验证、基于JSON的身份验证和基于HTTP/NTLM的身份验证。

4.WebSockets

WebSockets 在客户端和服务器之间创建异步通信通道，以全双工传输数据。这会产生安全漏洞，因为 WebSocket 保持通道开放，允许攻击者窃听或劫持会话。ZAP 持续扫描 WebSocket 以识别漏洞。

5.OWASP ZAP 模糊器

模糊测试是一种向测试应用程序发送大量意外数据输入的技术。OWASP ZAP 支持对 Web 应用程序进行模糊测试。您可以选择一种内置有效负载，下载 ZAP 社区提供的各种有效负载，或者创建您自己的有效负载。

6.AJAX 蜘蛛

在渗透测试中，AJAX 抓取可以帮助检测来自 AJAX 富 Web 应用程序的请求，而普通爬虫无法检测到。ZAP 提供了一个 AJAX Spider 窗口，可通过工具菜单访问。该工具具有配置参数，例如最大爬网深度、最大爬网状态、最大持续时间和其他选项，以避免无限爬网。

OWASP ZAP 教程：安装和初始配置

这是官方 OWASP ZAP教程的缩写。

先决条件

• ZAP 具有适用于 Windows、Linux 和 Mac OS/X 的安装程序以及 Docker 映像。从下载页面下载适当的安装程序并将其安装在将运行渗透测试的计算机上。
• 运行 ZAP 需要 Java 8 或更高版本。Mac OS/X 安装程序包含适当的 Java 版本，但对于 Windows、Linux 和跨平台版本，必须单独安装 Java 8+。Docker 版本已经包含 Java。
• 第一次启动ZAP时，您需要选择是否使ZAP会话持久化。如果您保留会话，它将被保存到本地 HSQLDB。否则，当您注销 ZAP 时，文件将被删除。
• 在继续之前，请确保您拥有 Web 应用程序所有者的权限来执行渗透测试。

运行快速启动自动扫描：

1. 启动 ZAP 并单击工作区窗口中的“快速启动”选项卡。
2. 单击自动扫描按钮。
3. 在攻击 URL文本框中，输入 Web 应用程序的完整 URL。
4. 选择使用传统蜘蛛、使用 ajax 蜘蛛或两者（更多详细信息如下）
5. 单击“攻击”。

ZAP 使用爬虫程序来浏览 Web 应用程序并扫描它找到的页面。然后，它使用主动扫描仪攻击它找到的每个页面、功能和参数。

ZAP 蜘蛛
ZAP 提供了两种用于抓取 Web 应用程序的蜘蛛，您可以在自动扫描对话框中选择：

• 传统的 ZAP 蜘蛛检查 Web 应用程序响应中的 HTML 以检测链接。尽管此蜘蛛速度很快，但在导航使用 JavaScript 生成链接的 AJAX Web 应用程序时效率较低。
• ZAP AJAX 蜘蛛对于 JavaScript 应用程序更有效。它通过调用浏览器、呈现页面的完整 JavaScript 并跟踪结果页面上的任何链接来导航 Web 应用程序。AJAX 蜘蛛比传统蜘蛛慢，并且需要额外配置才能在无头环境中使用。

被动扫描与主动扫描
ZAP 使用两种扫描形式：

• 被动扫描会调查所有代理请求和响应，但不会以任何方式更改响应，因此被认为是安全的。它可以在后台线程上完成，因此不会减慢应用程序的速度。这可以发现一些漏洞，并可以帮助您了解 Web 应用程序的基本安全状况。
• 主动扫描尝试使用针对选定目标的已知攻击媒介来查找其他漏洞。不要对您无权测试的目标使用主动扫描，因为主动扫描是真正的攻击，可能会导致系统损坏

LvBug的应用程序安全

LvBug 和道德黑客技术社区处于使用 OWASP 加强应用程序安全性并使互联网更安全的最前沿，并参考 OWASP Top 10 来确定其行动的优先级。进一步采用这种方法，LvBug全球 10 强可以使应用程序安全团队能够通过及时的见解来提高其效率，这些见解按行业细分，并由道德黑客提交的可利用发现推动。这些发现通常是新的或通过创新技术发现的，不太可能出现在 OWASP 数据库中。OWASP 和 LvBug 漏洞利用数据库相结合，可确保在不良行为者开展工作之前发现并修复高严重性漏洞。