使用ZAP寻找敏感文件和目录

目录

一.概述

二.任务描述

1.在kali-linux-2022.4-vmware-amd64启动OWASP ZAP

2.打开OWASP ZAP，将ZAP中的代理端口由8080改为8088

3.修改kali linux中firefox的代理参数

         4. 在kali linux中使用firefox打开靶场网页

三.总结

一.概述

  OWASP ZAP 是一个开源的安全测试工具，功能和Burpsuite一样，它们也同样是使用Java语言编写。OWASP ZAP是一款非常好用的测试工具，也是Kali里自带的工具，一键就可以扫描多种不同类型的漏洞，最好用的一点就是他可以自动爬取子域名。 是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本节中，将使用最近添加的强制浏览，这是在ZAP中DirBuster的实现。

二.任务描述

为了使这个程序工作，需要使用ZAP作为Web浏览器的代理。

1.在kali-linux-2022.4-vmware-amd64启动OWASP ZAP

如果没有zap，下面的命令可以下载

1. apt install zaproxy

在菜单栏找到03-Web程序在找到zap双击启动

 等待开启

  2.打开OWASP ZAP，将ZAP中的代理端口由8080改为8088。

 2.1 选择第一个然后点ok

 2.2点击工具——选择选项2.3 找到Network选择local Servers/Prox——找到端口part把端口修改为8080——最后点OK

更改原因 ：

默认情况下，它使用端口8080， 这是可以的，但是如果让ZAP和Burp Suite同时运行，则会干扰Burp Suite等其他代理。

3.修改kali linux中firefox的代理参数

3.1 kali linux中firefox中的设置Settings双击进入

 3.2进入设置页面——General——滑到最底找到Settings

 3.3 选择Manual proxy configuration——在HTTP Proxy输入127.0.0.1——在Port中输入8080——

记得勾Also use this proxy for HTTPS——在No proxy for中输入localhost,127.0.0.1——然后点OK。

 4. 在kali linux中使用firefox打开靶场网页

http://192.168.17.133（OWASP）,再点击页面中的WackoPicko，观察过程中ZAP的情况。

4.1 观察靶场ip地址的（192.168.17.133 ）

 4.2 在firefox浏览器中输入192.168.17.133然后回车——进入靶场，找到WackoPickow网站双击进入网站。

 4.3 回到zap发现已经产生数据，如下图。

4.3 选择http://192.168.17.133——右击把之前的数据删除

 4.4 再次刷新firefox浏览器——可以看到zap中多了三条记录。

在底部面板中，我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。 

三.总结

  代理是一个应用程序，充当客户端和服务器之间的中介，或者为一个服务器组提供不同的服务。客户端从代理请求服务，代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时，并且ZAP正在监听时，它不会直接发送请求到想要浏览网页的服务器，而是发送到定义的地址。然后ZAP将请求转发给服务器，但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同，需要配置相应的字典，并向服务器发送请求，就像它试图浏览列表中的文件一样。如果文件存在，服务器将相应地做出响应，如果它们不存在或者当前用户无法访问，则服务器将返回错误。对于这个学习的课程框问题,也让我得到了一些关于教师授课的心得要事先明确单元主题,整个章节教师要传授的知识,学生需要掌握的内容大体都国绕这个单元主题进行展开;学习每章节之初,教师最好先对将要学习的整个章节的内容进行大致的介绍,以便给学生灌输预备知识;其次,教师应提供学生课程框架问题,让同学比较清晰的了解自己将要学习的内容有个了解,也可以课前先查阅资料了解,并进行初步学习。接着,给学生提供一个比较完整的学习标,为学生的学习指引了一个正确的学习方向;最后,在课程学习之后入学习查找的资料,以及网站。

以上就是使用ZAP寻找敏感文件和目录的使用啦，如果有什么写的不好的或者不对的，欢迎小伙伴们提出，我会及时修改，一起进步，一起学习！