看到这里,很多人就问了,这个和今天的主题有啥关系。 上面Web 安全规范内容中第一条测试用例里就用到了AppScan。但是大家都知道 AppScan 不是免费的。今天给大家隆重介绍下 OWASP 公认的 Web 安全扫描工具Zap。
OWASP Zed Attack Proxy 攻击代理服务器
世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。
用法:
1. 自动扫描网站
安装好zap 后,打开。
当您第一次启动ZAP时,系统会询问您是否希望持久化ZAP会话。
如果您不持久化会话,那么当您退出ZAP时,这些文件将被删除。
如果选择持久化会话,则会话信息将保存在本地数据库中这样您以后就可以访问它,并且您将能够为其提供自定义名称和位置保存文件。
现在,选择 No, I do not want to persist this session at this moment in time,然后选择 Start.
您将会看到如下界面。
点击 Automated Scan
在 URL to attack:输入需要测试的网址。 点击Attack。
自动扫描结束 在 Report 里导出想要的报告类型即可。是不是很简单?
2. 手动扫描网站
点击 Manual Explore
在“URL to explore ”文本框中,输入要浏览的web应用程序的完整URL
选择您想要使用的浏览器。
单击Launch Browser按钮。
探索完网站后,ZAP 会自动测试所有你扫描到的URL。测试结束后,保存结果即可。
是不是很简单?
