使用ZAP寻找敏感文件和目录
OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言编写。
是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本章中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。
目标完成:
为了使这个程序工作,需要使用ZAP作为Web浏览器的代理。
1. 在Kali Linux中启动OWASP ZAP。
找到owasp zap后,点击左键从而启动该程序
2. 打开OWASP ZAP,将ZAP中的代理端口由8080改为8088。--修改代理服务器参数
点击Start进入
点击Tools,找到Options,点击进入
下拉滚动条,找到Network,鼠标左键点击,将Port端口改为8088,点击OK完成
更改的原因:
默认情况下,它使用端口8080, 这是可以的,但是如果让ZAP和Burp Suite同时运行,则会干扰Burp Suite等其他代理
3.1. 修改kali linux中firefox的代理参数-方法一
点击右上角三横图标,找到settings并单击左键
进入firefox浏览器页面,下拉到最下面,点击settings
选择Manual proxy configuration,在HTTP Proxy中输入:127.0.0.1,在Port中输入8088
在No proxy ror中输入:localhost,127.0.0.1,点击OK完成
3.2. 修改kali linux中firefox的代理参数-方法二 (略)
使用FoxyProxy插件设置多个代理,切换他们只需要点击一下
3.3 修改完后,Firefox通过ZAP上网,Firefox的所有流量都经过ZAP,如果不配代理,Firefox的上网流量不会经过ZAP。
拿买火车票打比喻:配置了代理后,Firefox要去买火车票
就必须通过ZAP,Firefox自己不能去买火车票。代购/票贩子/黄牛党。
4. 在kali linux中使用firefox打开靶场网页http://192.168.242.132,再点击页面中的WackoPicko,观察过程中ZAP的情况。
观察靶场的IP地址,靶场的IP是192.168.242.132,网站是http://192.168.242.132
————————————————
版权声明:本文为CSDN博主「夏至刚好ii」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_73565700/article/details/130892180
输入靶机IP地址,进入靶场找到目标网站
注意,此时zap中产生了数据
5. 在底部面板中,我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。
总结:
代理是一个应用程序,充当客户端和服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到想要浏览网页的服务器,而是发送到定义的地址。然后ZAP将请求转发给服务器,但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同,需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。如果文件存在,服务器将相应地做出响应,如果它们不存在或者当前用户无法访问,则服务器将返回错误。
————————————————
版权声明:本文为CSDN博主「夏至刚好ii」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_73565700/article/details/130892180
使用ZAP寻找敏感文件和目录相关推荐
- 敏感文件/目录扫描工具 dirsearch
目录 1.dirsearch 是什么? 2.dirsearch的下载和安装 3.在dirsearch.py所在目录,输入cmd,进入命令行 4.dirsearch 的 参数 5.实战 6.查看响应码为 ...
- linux下的qt缺少iostream,c – iostream:没有这样的文件或目录
我在 Windows Vista上与Qt创建者合作.我正在尝试编译一个非常简单的".cpp"代码,其中包含标准c库"iostream",如下所示: #inclu ...
- 文件节点的linux指令,Java工程师必学的Linux命令(一)文件与目录管理
从本篇文章开始,我将总结一些Java工程师日常研发工作中会使用到的Linux命令,在介绍这些命令的过程中,也会对Linux系统的一些基础知识进行普及.希望对大家工作和学习有所帮助吧. 本篇将从文件与目 ...
- cmake编译安装完成后 执行cmake --version报错 bash: /usr/bin/cmake: 没有那个文件或目录
cmake编译安装完成后 执行cmake --version报错 bash: /usr/bin/cmake: 没有那个文件或目录 cmake 没有那个目录 - 未完代码 - 博客园 因为直接使用cma ...
- 鸟哥Linux私房菜基础学习篇 第二部分 Linux 文件、目录与磁盘格式_Linux文件权限与 目录配置_Linux文件与目录管理...
2019独角兽企业重金招聘Python工程师标准>>> 1.相对路径相对某目录比较灵活方便(如安软件时候指定目录),绝对路径一般不会因为环境变化而产生错误. 2.目录变化时的切换 - ...
- java递归url目录_Java递归实现某个目录下所有文件和目录
import java.io.File; import java.util.ArrayList; public class Test1// 实现打印某个目录下的所有文件和目录,要目录在上,文件在下,每 ...
- 如何通过终端快速删除文件和目录(bash shell)[关闭]
本文翻译自:How to remove files and directories quickly via terminal (bash shell) [closed] From terminal w ...
- 第七章、Linux 文件与目录管理
第七章.Linux 文件与目录管理 1. 目录与路径 1.1 相对路径与绝对路径 1.2 目录的相关操作: cd, pwd, mkdir, rmdir 1.3 关於运行档路径的变量: $PATH 2. ...
- 鸟哥的Linux私房菜(基础篇)- 第七章、Linux 文件与目录管理
第七章.Linux文件与目录管理 最近升级日期:2009/08/26 在第六章我们认识了Linux系统下的文件权限概念以及目录的配置说明.在这个章节当中,我们就直接来进一步的操作与管理文件与目录吧!包 ...
最新文章
- LINQ的Union方法
- pve远程连接 spcie_proxmox折腾 篇一:解决j3455直通iommu分组问题,PVE内核编译教程...
- Python-TKinter布局之pack
- JSP中的pageEncoding和contentType属性(转)
- SVN trunk branch tags 区别
- RabbitMQ有5种工作模式
- struts2遍历select
- C#算法设计排序篇之05-归并排序(附带动画演示程序)
- 阿里飞天大数据平台正式亮相:国内最大计算平台
- 基于JAVA+SpringMVC+Mybatis+MYSQL的电费用电管理系统
- 读书笔记∣概率论沉思录 01
- 【PAT】2020年春季考试乙级题目、答案、摸鱼、游记、93分
- excel迷你图 vba_如何在Excel 2010中使用迷你图
- 什么是OOP?使用OOP用什么好处?
- ewebeditor
- router禁用443端口
- 【JAVA】(vip)蓝桥杯试题 基础练习 阶乘计算 BASIC-30 JAVA
- trans系列是sci几区_如何看SCI期刊属于几区
- 100以内的质数(素数)
- php 元旦祝福,简短祝福语八个字 元旦祝福语简短