安全测试工具-QWASP_ZAP

Posted 2021-04-29 博克软件

1.安全测试的目的

随着软件变得愈加复杂且相互关联，准确快速的识别软件安全风险变得愈发的重要。安全测试的目的是查找软件自身存在的安全隐患，并检查应用程序对非法侵入的防范能力。

2.什么是应用程序安全风险？

应用程序安全风险是指应用程序受到外部的威胁。攻击者可以通过许多不同的路径方法去危害您的程序，每种路径方法都代表了一种风险，所造成的危害有可能无关紧要也有可能导致非常严重的后果。我们都知道漏洞威胁分为Low, Middle和High三个主要等级，这就是根据漏洞对系统或者应用产生的威胁程度来判定的。为了确定您企业的风险，可以结合其产生的技术影响和对企业的业务影响，去评估威胁来源、攻击路径和安全漏洞的可能性。

3.何时做安全测试

大多数时候都会在软件建立以及进入生命周期中的部署阶段（即代码已创建或已实例化为一个正在工作的 Web 应用程序）才开始进行安全测试。最佳的方法之一是将安全测试融入到软件开发生命周期每一个阶段以防止安全漏洞的出现。软件开发生命周期应包含安全测试内容以确保在整个开发进程安全被充分涵盖并得到有效控制。

4.OWASP_ZAP使用简介

OWASP_ZAP 是一个开源的跨平台的web application 集成渗透测试和漏洞挖掘工具，可以检测SQL注入，跨站脚本，跨站请求伪造以及路径遍历等问题。

4.1 这里主要介绍下OWASP_ZAP的手动爬网和快速扫描

4.1.1手动爬网

（1）给浏览器设置http代理这里以Firefox为例

（2）OWASP_ZAP 的代理设置可在【工具】-【选项】-【本地代理】中修改

（3）设置好代理后，使用浏览器访问需要测试的网站的每个页面和页面上的每一个功能，点击页面上的每个  链接和功能测试后，OWASP_ZAP中会记录你每个访问的过程和结果。

PS：扫描https网站时，出现证书报错，通过导入ssl证书到浏览器，则不会出现错误。

4.1.2 快速扫描

Spider扫描会自动发现隐藏链接，新发现的连接将会显示在spider标签中。

主动扫描是OWASP ZAP最强大的功能之一，可以自动对目标网站发起渗透测试，可以检测的缺陷包括路径遍历、文件包含、跨站脚本、sql注入等等。

4.2 扫描结果

Alters标签包含在测试过程中发现的警报计数，并将这些警报按照风险分类。这些风险类别有：

展开警报分类，可以查看当前网站对应的警报信息如下图所示：

备注：关于目前10项最严重的Web 应用程序安全风险的介绍可以参考官网文档

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

4.3 导出报告

点击Report->Generate htmlReport->选择保存路径

报告导出样式(HTML)：

5.总结

OWASP_ZAP功能完善，简单易用，主动扫描方面，相对占优。在用OWASP_ZAP进行渗透测试期间，从潜在攻击者的角度对应用系统进行测试并且评估现有的漏洞以识别系统潜在的脆弱性和弱点。比如在扫描过程中发现的可以同时使用同一账号在不同的设备登录应用系统，当密码被修改或者用户注销登录系统时会话没有失效以及SQL注入等安全性漏洞。

 

若需转载，请注明出处