WIN下使用OWASP ZAP笔记

首先去github下载owasp zap: https://github.com/zaproxy/zaproxy/wiki/Downloads ,用迅雷会员下载比较快;
基础使用方法去freebuf看:http://www.freebuf.com/sectool/5427.html
首先要安装https证书、搞了好久找到了下载证书的地方 options->Dynamic SSL Certficates去保存证书,然后导入浏览器

WIN下使用OWASP ZAP笔记

safe mode #安全模式
protected mode #保护模式
standard mode #标准模式
ATTACK mode #***模式

在owasp中需要添加断点拦截、同样也有拦截白名单和黑名单的设置,使用如下:
WIN下使用OWASP ZAP笔记

还有他的***模式做的比较好,输入网址***后会自动发送到spider模块,爬完后自动发送到主动扫描模块,也有扫描进度,可视化效果做的比burpsiuite好,后面尝试下主动扫描模块强大不、
WIN下使用OWASP ZAP笔记

扫描完后自动转到警告模块可以查看扫描报告,也支持导出html、xml方式报告;
FUZZ模块配置使用貌似木有burpsuite强大、其他的还都是蛮好的,也有编码解码功能等等。
目测owasp-zap的主动扫描模块值得一用,还有下断点会把request和response都下断点返回,默认burpsuite的配置是不拦截response、而owasp-zap默认两个都拦截、
后续的使用,后面再来补充。
?

WIN下使用OWASP ZAP笔记

上一篇:解决 win32-x64-64_binding.node 下载失败


下一篇:浅谈C# 多态的魅力(虚方法,抽象,接口实现)