Kali Linux使用ZAP的爬虫功能

  • 前言
    • 一、OWASP ZAP简介
    • 二、 环境配置-kali linux中firefox配置为127.0.0.1 8080
    • 三、环境配置-kali linux中OWASP ZAP也配置为127.0.0.1 8080
    • 四、kali linux中打开firefox浏览器,在浏览器中打开靶场
    • 五、kali linux中打开OWASP ZAP
    • 六、对bodgeit单击右键从下拉菜单选择 Attack(攻击) | Spider(爬)
  • 总结

前言

一、OWASP ZAP简介

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP是一个中间人代理,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
ZAP官方网站:https://www.zaproxy.org/download/
在web应用程序中,爬虫(crawler)或爬行器(spider)是一种工具,它可以根据网站中的所有链接自动浏览网站,有时还可以填写和发送表单。这允许获得站点中所有引用页面的完整映射,并记录获取这些页面的请求和响应。
ZAP的爬行功能,在脆弱的靶机上爬行一个目录,然后将检查它捕捉到的信息。
将使用OWASP BWA靶场中的BodgeIt来说明ZAP的爬行功能是如何工作的。参考以下步
骤:
实验所需用到的靶机为:OWASP_Broken

二、 环境配置-kali linux中firefox配置为127.0.0.1 8080

在出现的页面下滑到底部点击settings…就出现下面设置页面

三、环境配置-kali linux中OWASP ZAP也配置为127.0.0.1 8080

四、kali linux中打开firefox浏览器,在浏览器中打开靶场

进入Bodgeit靶机

五、kali linux中打开OWASP ZAP

六、对bodgeit单击右键从下拉菜单选择 Attack(攻击) | Spider(爬)





总结

跟其他爬虫一样,ZAP的爬虫会跟进在页面中找到的每个链接,以及表单的响应中的URL,重定向的URL,并且保存所有的请求和响应用于后期分析。
此外,此蜘蛛遵循“robots.txt”和“sitemap.xml”文件中包含的表单响应、重定向和URL,然后存储所有请求和响应以供以后分析和使用。 在爬行一个网站或目录之后,可能希望使用存储的请求来执行一些测试。使用ZAP的功能,将能够做以下事情,其中包括:
1、重复修改一些数据的请求
2、执行主动和被动漏洞扫描
3、输入模糊变量,寻找可能的攻击向量
4、在浏览器中打开请求

Kali Linux使用ZAP的爬虫功能相关推荐

  1. Kali Linux菜单中各工具功能大全

    网络安全重磅福利:入门&进阶全套282G学习资源包免费分享! 名称 类型 使用模式 功能 功能评价 dmitry 信息收集 whois查询/子域名收集/端口扫描 whois并不简单明了:子域名 ...

  2. kali linux菜单中各工具功能

    名称 类型 使用模式 功能 功能评价 dmitry 信息收集 whois查询/子域名收集/端口扫描 whois并不简单明了:子域名和邮箱依赖google:端口扫描速度一般 dnmap 信息收集 用于组 ...

  3. kali linux u盘 live,Kali Linux Live U盘安装过程

    从U盘启动然后安装Kali是我们最喜欢并且是获得并运行Kali最快的方法.为此,我们首先要在U盘创建Kali ISO的镜象.如果你想长久使用kali linux U盘,请在创建镜象前阅读完整的文档.7 ...

  4. Kali linux学习入门-Kali菜单中各工具功能

    想要进入安全行业为安全事业做贡献,就要硬着头皮学点什么.就像为什么军人往往都有更高的成就?因为自律.克服玩游戏的欲望吧,踏踏实实学点东西.http://www.cnblogs.com/lsdb/p/6 ...

  5. kail linux稳定版本,Kali Linux 2020.3 稳定版已发布 更新后新功能概览

    Kali Linux 2020.3稳定版已发布,新版带来了许多令人印象深刻的更新,例如引入 zsh,并宣布从 bash 切换至 zsh 的计划(目前仍然默认使用 bash,2020.4 将默认使用 z ...

  6. kali Linux各工具功能简介

    Kali Linux工具清单 https://tools.kali.org/tools-listing 名称 类型 使用模式 功能 功能评价 dmitry 信息收集   whois查询/子域名收集/端 ...

  7. Kali Linux Web 渗透测试秘籍 第二章 侦查

    第二章 侦查 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在每个渗透测试中,无论对于网络还是 Web 应用,都有一套流程.其中需要 ...

  8. Kali Linux Web 渗透测试秘籍 第四章 漏洞发现

    第四章 漏洞发现 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 我们现在已经完成了渗透测试的侦查阶段,并且识别了应用所使用的服务器和 ...

  9. Kali Linux信息收集工具全

    可能大部分渗透测试者都想成为网络空间的007,而我个人的目标却是成为Q先生! 看过007系列电影的朋友,应该都还记得那个戏份不多但一直都在的Q先生(由于年级太长目前已经退休).他为007发明了众多神奇 ...

最新文章

  1. 什么是软件测试架构师?
  2. The Security Learning
  3. 点击延迟_解决移动端浏览器点击延迟300ms的问题——FastClick用法
  4. Codeforce 1182B Plus from Picture
  5. mkdir和mkdir-p的区别
  6. render与render_to_response的区别
  7. Jerry Wang在SAP社区上获得的徽章
  8. note同步不及时 one_朱海舟回应锤子便签同步不及时:工程师已经解决
  9. mac 远程ftp服务器文件共享,mac 远程ftp服务器文件
  10. sql decimal 转string_音频怎么转文字?这个软件带你体验飞一般的感觉
  11. Spring源码解析 - BeanFactory接口体系解读
  12. Git Cheat sheet
  13. arcgis运行慢_ArcGIS Desktop打开慢的解决办法
  14. 阿里面试官鬼得很,问我为什么他们阿里要禁用Executors创建线程池?
  15. 用qt合并ts视频文件
  16. 一台计算机的完全限定域名,什么是完全限定域名?
  17. 磁场强度H和磁感应强度B的区别
  18. 刘强东放弃京东的股权套现离场
  19. 超大文件下载神器(Internet Download manager) IDM
  20. 【扫盲】女孩暗示你可以和她上床的十种表示【原创】

热门文章

  1. 如何删除服务里oracle,oracle rac如何删除服务及srvctl命令使用帮助介绍
  2. openlayers拖拽、旋转、缩放、拉伸变形 (十二)
  3. 0014__格式化工厂(视频编辑软件包括去掉声音、添加字幕)
  4. Asp.Net+Ajax实现的宝宝RSS阅读器源码下载
  5. vuex速成学习总结
  6. 20135219洪韶武——信息安全系统设计基础第九周学习总结
  7. C1认证任务:修改植物大战僵尸中的关卡位置与金钱的数据
  8. Mogilefs学习
  9. mysql优化 个人笔记 非礼勿扰 -m06
  10. 推荐系统(2)--计算皮尔逊相关系数