OWASP ZAP(Zed Attack Proxy)是一個全能的 Web 安全測試工具。它包含以下功能:Proxy、被動和主動漏洞掃描器、Fuzzer、Spider、HTTP Request Sender以及其它很多有趣的功能。這篇文章,我們將體驗 ZAP 最近剛剛加入的 “Forced Browse”,是一款在 ZAP 中對 DirBuster 的實現功能。
實施步驟
首先,打開我們的漏洞靶機:Vulnerable_VM 【配置參見:測試環境搭建】
這里,我們需要 owasp-zap 成為瀏覽器的代理。
現在我們在 Kali 上打開 owasp-zap 軟件 (Applications -> 03 - Web Application Analysis -> owasp-zap)。
打開Iceweasel,Edit -> Preference -> Advanced -> Network -> Settings,如下圖:
在彈出的窗口配置代理,如下圖紅圈所示,配置完后點擊 OK:
現在回到 oswasp-zap ,點擊 Tools -> Options -> Force Browse,然后點擊 Select File...
Kali 本身自帶一些詞匯清單,這里我們選擇其中一個:
/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt
然后點擊 Open
點擊 OK ,退出 Options 對話框,下面,打開瀏覽器,訪問:
http://192.168.150.143/WackoPicko/
這里,我們看到,在訪問 WackoPicko 站點的時候,ZAP 的 Sites 窗口以 Tree 視圖顯示了我們剛剛訪問的資源頁面:
現在,我們右擊 WackoPicko 目錄,選擇 Attack -> Forced Browse directory,然后 ZAP 的下方將出現 Forced Browse 標簽頁,這里顯示掃描的進度和結果:
備注
Kali Linux 中另外一個很有用的代理是 BurpSuite。它里面有一個和 ZAP 的 Forced Browse 類似的功能叫做 Burp's Intruder。BurpSuite 也是一個多功能的工具,有時間可以自己嘗試一下。
