大家好,我是阿萨。 现在Web 安全的重要性不言而喻。 作为测试人员呢,避免不了要进行安全测试。有些测试人员可能会有一些困扰,那就是我不懂安全测试怎么办?
别着急,今天阿萨给大家共享一份Web 安全测试规范,专门给Web 安全小白准备的。 关注公众号,回复 【Web】获取 这份Web 安全测试规范。
看到这里,很多人就问了,这个和今天的主题有啥关系。 上面Web 安全规范内容中第一条测试用例里就用到了AppScan。但是大家都知道 AppScan 不是免费的。今天给大家隆重介绍下 OWASP 公认的 Web 安全扫描工具Zap。
OWASP Zed Attack Proxy 攻击代理服务器
世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞
下载地址:
以上地址下载最新版本后,直接安装。
用法:
1. 自动扫描网站
安装好zap 后,打开。
当您第一次启动ZAP时,系统会询问您是否希望持久化ZAP会话。
如果您不持久化会话,那么当您退出ZAP时,这些文件将被删除。
如果选择持久化会话,则会话信息将保存在本地数据库中这样您以后就可以访问它,并且您将能够为其提供自定义名称和位置保存文件。
现在,选择 No, I do not want to persist this session at this moment in time,然后选择 Start.
您将会看到如下界面。
点击 Automated Scan
在 URL to attack:输入需要测试的网址。 点击Attack。
自动扫描结束 在 Report 里导出想要的报告类型即可。是不是很简单?
2. 手动扫描网站
点击 Manual Explore
在“URL to explore ”文本框中,输入要浏览的web应用程序的完整URL
选择您想要使用的浏览器。
单击Launch Browser按钮。
探索完网站后,ZAP 会自动测试所有你扫描到的URL。测试结束后,保存结果即可。
是不是很简单?
有了入门工具和Web安全测试用例里 简单方便可执行用例。Web 安全测试入门无忧。大家可以看看用例里每一条详细的执行步骤都有列出,只要按照步骤执行即可。赶快下载下来去测试吧。Windows 适用哦。
