首页 > 其他分享 >信步漫谈之ZAP扫描工具——初识

信步漫谈之ZAP扫描工具——初识

时间:2024-08-01 10:43:04浏览次数:13  
标签:web 漫谈 扫描 OWASP 初识 测试 安全性 ZAP

目录


1 OWASP

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP被视为web应用安全领域的权威参考。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。

OWASP 颁布并且定期维护更新的web安全漏洞TOP 10,也成为了web安全性领域的权威指导标准,同时也是IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。

2 ZAP

OWASP ZAP,全称:OWASP Zed Attack Proxy攻击代理服务器,是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

支持的安装环境:Windows 32位/64位、Linux、MacOS。
注意:Windows和Linux版本需要依赖Java 8或更高版本JDK,MacOS安装程序自带Java 8。

3 ZAP的工作原理

在安全性测试领域,安全性测试主要可以由以下几种测试策略来覆盖:
漏洞分析  -  对系统进行扫描来发现其安全性隐患
渗透测试  -  对系统进行模拟攻击和分析来确定其安全性漏洞
运行时测试  -  终端用户对系统进行分析和安全性测试(手工安全性测试分析)
代码审计  -  通过代码审计分析评估安全性风险(静态测试,评审)
ZAP主要是用于应用上述的第二种测试,即渗透性测试。主要拥有以下重要功能:

  • 本地代理
  • 主动扫描
  • 被动扫描
  • Fuzzy
  • 暴力破解
    ZAP以架设代理的形式来实现渗透性测试,类似于fiddler抓包机制。他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描,甚至是改包再发送。

4 ZAP的下载地址

github地址
OWASP ZAP 官方下载地址

5 ZAP的安装使用

参考资料

标签:web,漫谈,扫描,OWASP,初识,测试,安全性,ZAP
From: https://www.cnblogs.com/alfredinchange/p/14060109.html

相关文章

  • C语言程序设计(初识C语言前部分)
    新晋大学生计算机专业中的小小准程序员学习小笔记一,什么是C语言C语言是一门通用计算机编程语言,广泛用于底层开发,通俗的说就是人与计算机交流的计算机语言之一。底层开发就是指上图的下层(底层)部分。美国国家标准局为C语言制定了一套完整的美国国家标准语法,称为ANSIC,作为C语......
  • 初识数据库索引结构
    建立索引的优点在于:能够提高某列数据的检索效率,不需要进行顺序扫描。同时,缺点在于:索引结构需要单独维护,占据磁盘/内存空间,而且降低了增删改的效率。索引结构可以使用什么数据结构来实现?二叉树。有序,但是存在缺点:顺序插入时会退化成单向链表,查询性能大大降低,数据量大时,树会很深......
  • 初识Java多线程
    Java中如何创建新线程?第一种方式:继承Thread类写一个子类继承Thread重写run方法创建该类的对象,代表一个线程调用start方法启动线程,该线程会执行run方法这种方式的优点在于编码方式简单,但是该类已经继承了Thread类,不能继承其他类。注意:启动线程时一定调用start方法,而非ru......
  • java初识-----JDK,JRE和JVM
    JDK,JRE和JVMJDK即JavaDevelopmentKit是Java开发工具包的缩写。它是一套用于开发Java应用程序的软件包,包含了Java的运行环境(JRE)、编译器(javac)和调试器(jdb)等众多工具。JDK是Java开发的核心,无论是编写Java程序还是运行Java应用,都离不开JDK的支持。对于Java开发者来说,安装......
  • java初识---JDK的安装配置
    JDK的安装确定操作系统在开始安装JDK之前,首先需要确定自己的计算机操作系统类型,如Windows、macOS或Linux。因为不同操作系统的JDK安装包和安装步骤可能有所不同。检查系统要求确保计算机满足JDK安装所需的最低系统要求,包括处理器、内存和磁盘空间等。这些要求通常可以在JDK......
  • Java基础08:自增自减运算符,初识Math类
    一元运算符自增(++)自减(--)运算符是一种特殊的算术运算符,在算术运算符中需要两个操作数来进行运算,而自增自减运算符是一个操作数,分为前缀和后缀两种。publicstaticvoidmain(String[]args){ inta=3; intb=a++;//执行完后,b=3。先给b赋值,再自增。 intc=++a;//执......
  • C语言初识指针
    概述:本文章主要介绍C语言中指针最基础和核心的知识点。内存:在学习指针之前,让我们先了解内存空间、内存是如何编号、以及内存单元的大小。内存空间:内存空间的分配类似于日常生活中对空间的管理。我国国土面积960万平方公里,为加强对各个地区的管理,设立了省、市、区等行政单......
  • 【python】对网站进行请求-初识
    python实现对网站进行请求代码如下importrequestsdefget_data(url,headers=None,params=None,timeout=10):try:res=requests.get(url,headers=headers,params=params,timeout=timeout)res.raise_for_status()returnres.text......
  • 【python】Django初识-从未有如此美妙的开局
    Django初识python、Django安装与验证python安装Python官网https://www.python.org/Django安装pipinstallDjango验证python是否安装成功python--version验证Django是否安装成功python3-mdjango--version创建第一个Django项目项目创建与服务器启动打开cmd,输......
  • 【Kubernetes】初识K8S基础
    目录一.K8S概述1.K8S背景物理机的缺点虚拟机特点(解决了物理机的缺点)虚拟机缺点容器化特点(解决了虚拟机的缺点)容器化缺点2.K8S基本概念2.1.作用2.2.特点二.K8S 集群架构与组件1.集群架构介绍2.核心组件2.1.Master组件Kube-apiserver:是所有服务请求的统一访问入......