OWASP工具简介
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。
OWASP被视为web应用安全领域的权威参考。2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。
OWASP 颁布并且定期维护更新的web安全漏洞TOP 10,也成为了web安全性领域的权威指导标准,同时也是IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。
ZAP
OWASP ZAP,全称:OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
ZAP的工作原理
在安全性测试领域,安全性测试主要可以由以下几种测试策略来覆盖:
漏洞分析 - 对系统进行扫描来发现其安全性隐患
渗透测试 - 对系统进行模拟攻击和分析来确定其安全性漏洞
运行时测试 - 终端用户对系统进行分析和安全性测试(手工安全性测试分析)
代码审计 - 通过代码审计分析评估安全性风险(静态测试,评审)
ZAP主要是用于应用上述的第二种测试,即渗透性测试。
ZAP以架设代理的形式来实现渗透性测试,类似于fiddler抓包机制。他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描,甚至是改包再发送。
ZAP下载
下载地址:
github: https://github.com/zaproxy/zaproxy/wiki/Downloads
现在的稳定版本是2.7.0版,推荐下载windows64位安装包来初试安全性扫描机制。
ZAP安装
本文推荐的windows64位版的ZAP安装非常简单,跟普通的安装程序过程没有太大不同,本文不再赘述。
当然遗憾的是,现阶段ZAP的中文支持做得还不是很好,基本的操作界面以英文为主。
你可能喜欢