使用OWASP Zap度过没有Burp的过渡期

2019-04-04 约 54 字 预计阅读 1 分钟

声明:本文 【使用OWASP Zap度过没有Burp的过渡期】 由作者 静默 于 2017-12-13 10:34:00 首发 先知社区 曾经 浏览数 3161 次

感谢 静默 的辛苦付出!

最近burp的licence到期了,大家都在考虑什么工具,什么不限制时间的bp啊,小提琴啊,花瓶啊,都开始被大家想起来了。不过除了小提琴,貌似都要收费。我突然想起来,还有一个工具,是owasp的zap,不用担心licence,不用担心安全问题(owasp还是比较放心的)。
给大家做一个和bp的常用功能对比图,大家可以在过渡期试试哈。该版本zap为2.7版本。
开始界面

像bp开始界面的这个不知道有多少人在用,我是由于工作原因,需要测试的网站多,所以需要该功能,第一项临时项目,几乎就是等于不保存了,对照owasp zap的功能在下图红色箭头所指处

新建项目(就是bp的第二个),对照为zap的第二项,第一项也可以,但是会用时间戳作为文件名,找起来不方便啊。
代理
先说一下代理吧,毕竟这是第一步要配置的。
Bp的话在这里配置

Zap里面配置在

然后zap还很贴心的出了一个功能,一键启动浏览器,不用配置代理,启动的浏览器直接可以抓包,有内置的JxBrowser,还有本机安装的浏览器,比如,ie、ff、chrome。

请求和响应
抓个包试一下
Bp的请求包和响应包在这里

Zap的请求和响应,在右上角,刚开始换工具,会有点不适应。

爬虫
Bp直接右键就可以让爬虫去爬了,很方便

Zap的爬虫也是右键,在攻击里面

扫描
Bp的扫描是右键host主机

Zap的也是右键host主机,然后在攻击目录中有主动扫描,感觉zap的测试也没有说特别好,仅供参考吧!

由于被动扫描一般扫不出什么功能,所以我也不用,这里就没细说,如有需要请留言。
爆破
Bp中的是直接右键发送到intruder中

具体配置payload,不解释了,大家都懂
Zap的爆破在fuzz里面

和bp一样,添加需要爆破的点。建议先reset一下。
当点完一项的时候,会自动弹出来一个payload选项

一般都用字典爆破,就选文件,如果选多个payload,会自动组合爆破,如果有需求用户名和密码一样爆破的话,目前没找到在哪里可以设置,欢迎一起讨论。

重放
Bp的直接右键发送到repeat即可

Zap的也是直接右键,选择重发送即可


解密Bp中解密的位置,直接将内容发送到decoder中即可

Zap中,在工具选项里面找到编码、解码、哈希,或者选中需要编码或者解码的字符串,右键发送到编码中。

其他部分暂未对比,欢迎大家一起来讨论。

关键词:[‘安全技术’, ‘技术讨论’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now