(1)啓動owasp zap,更新owasp zap的插件安全
在installed欄位,在更新列裏有更新字樣的即爲官網更新的插件,能夠選中進行更新服務器
在marketpace欄位,有release(較穩定)/Beta(已上線供市場檢測穩定性)/alpha(內測階段)版的插件可下載,建議能夠下載release(較穩定)/Beta(已上線供市場檢測穩定性)插件,alpha可能會誤判工具
(2)給google瀏覽器設置http代理(也能夠是其餘瀏覽器),默認owasp zap使用8080端口開啓http和https代理學習
owasp zap 的代理設置可在【工具】-【選項】-【本地代理】中修改測試
(3)owasp zap 代理https網站證書不信任問題
owasp zap 進行代理時,瀏覽器訪問https的網站,owasp zap 使用本身的證書與瀏覽器創建ssl鏈接,因爲owasp zap證書不受信任,所以須要把owasp zap的證書手動導出(cer格式的證書),導入到瀏覽器中便可
爲啥要導入證書:https://github.com/fwon/blog/issues/38
處理方法:
A、導出owasp zap的證書的方法【設置】-【dynamic ssl certificates】
B、在瀏覽器裏導入證書,以google瀏覽器爲例子
瀏覽器設置-高級-證書管理,導入A中保存的證書,以下:
證書可能導入了以後仍是顯示不信任,須要修改爲信任
(4)設置好代理後,使用瀏覽器訪問須要審計的網站的每一個頁面和頁面上的每個功能,特別是一些表單的地方必定要提交一下,全部的功能都手動的嘗試一遍,全部的url連接手動全點一遍,全部的結果的包都被owasp zap截取下來
這裏以 testphp.vulnweb.com 網站爲例,此網站爲awvs掃描器專用測試網站(此網站僅供學習使用,請勿非法攻擊)
點擊頁面上的每一個連接和功能測試後,owasp zap 中會出現你每一個訪問的過程和結果
(5)手動爬網後,選擇該站點進行owsap zap的自動爬網和forced browse site、forced browse directory、forced browse directory(and children)。owasp zap的強制目錄瀏覽選擇使用owasp zap自帶的directory-list-1.0.txt 目錄字典進行嘗試爬取(你也能夠自定義字典)
以上的目的是儘可能的爬行出測試網站的全部連接頁面
(5)以上工做作完之後,就能夠選擇該站點進行主動掃描(active scan)
(6)主動掃描後,針對掃描的結果【警告】菜單欄查看每一項看是否真的存在相應的問題,主要查看高危和中危漏洞,查看漏洞存在的url以及attack 的語句即 attack後服務器返回的結果。
最後爲驗證該漏洞的真實有效性,你能夠選擇該漏洞點進行相應安全工具再進一步的測試