首先去github下载owasp zap: https://github.com/zaproxy/zaproxy/wiki/Downloads ,用迅雷会员下载比较快; 基础使用方法去freebuf看:http://www.freebuf.com/sectool/5427.html 首先要安装https证书、搞了好久找到了下载证书的地方 options->Dynamic SSL Certficates去保存证书,然后导入浏览器
safe mode #安全模式 protected mode #保护模式 standard mode #标准模式 ATTACK mode #攻击模式
在owasp中需要添加断点拦截、同样也有拦截白名单和黑名单的设置,使用如下:
还有他的攻击模式做的比较好,输入网址攻击后会自动发送到spider模块,爬完后自动发送到主动扫描模块,也有扫描进度,可视化效果做的比burpsiuite好,后面尝试下主动扫描模块强大不、
扫描完后自动转到警告模块可以查看扫描报告,也支持导出html、xml方式报告; FUZZ模块配置使用貌似木有burpsuite强大、其他的还都是蛮好的,也有编码解码功能等等。 目测owasp-zap的主动扫描模块值得一用,还有下断点会把request和response都下断点返回,默认burpsuite的配置是不拦截response、而owasp-zap默认两个都拦截、 后续的使用,后面再来补充。
