ImageVerifierCode 换一换
格式:DOCX , 页数:18 ,大小:1.23MB ,
资源ID:9011582      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bingdoc.com/d-9011582.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(L003010018利用owasp zap扫描网站漏洞.docx)为本站会员(b****8)主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(发送邮件至service@bingdoc.com或直接QQ联系客服),我们立即给予删除!

L003010018利用owasp zap扫描网站漏洞.docx

1、L003010018利用owasp zap扫描网站漏洞课程编写类别内容实验课题名称利用owasp zap扫描网站漏洞实验目的与要求学习漏洞扫描技术基本原理,了解其在网络攻防中的作用,通过上机实验,学会使用owasp zap对目标网站扫描, 并根据报告做出相应的防护措施。实验环境VPC1(虚拟PC)操作系统类型:windows server 2003和windows XP professional,网络接口:本地连接VPC1连接要求PC网络接口,本地连接与实验网络直连软件描述owasp zap实验环境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通;

2、预备知识ZED攻击代理(ZAP)是一个易于使用的综合渗透测试工具,主要用于在Web应用程序中发现的漏洞。它可以被拥有安全经验广泛的人来使用,对开发者搞开发测试也是很有帮助的。而且对于刚开始从事渗透测试的人,效果也是比较理想的。ZAP提供自动扫描仪以及一组工具,让你可以手动或者自动发现漏洞。实验内容1owasp zap扫描器的使用2软件参数的设置3网站漏洞扫描4扫描结果分析实验步骤学生登录实验场景的操作1、 学生单击 “网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。如图所示:2、学生输入账号administrator ,密码123456,登录到实验场景中

3、的Windows server 2003。如图所示:3、学生输入账号administrator ,密码123456,登录到实验场景中的Windows XP Professional。如图所示:4、在windows xp系统,接下来开始安装zap,在d:toolszap里点击zap_1.4.0.1_windows.exe进行安装。如图所示:5.接下来进入zap安装向导,点击“Next”。如图所示:6.接下来进入许可协议界面,选择“Iaccept the agreement”,并点击“Next”。如图所示:7.接下来进入选择安装路径界面,我们选择默认路径安装即可,点击“Next”。8.然后让选择安

4、装开始菜单的位置,我们可以选择“Dont careate start menu folder”,并选择“Next”。如图所示:9.接下来让选择创建桌面快捷方式和快速启动方式,我们只创建桌面快捷方式即可。如图所示:10.进入ready to install界面,点击“install”。如图所示:11.接下来安装就完成了,进入完成向导界面。如图所示:12.点击桌面上的zap图标,会进入许可界面,我们选择accept即可。如图所示:13.接下来会弹出创建CA证书界面,我们可以选择“Later”。如图所示:14.接下来在其他类似的软件中一样,打开ie-Internet选项-连接-局域网设置。如图所示:

5、15.在代理服务器中的地址这里,设置地址为127.0.0.1,端口设置为8080并点击确定。如图所示:16在浏览器里输入windows 2003系统的ip地址进行访问默认网站动网先锋。如图所示:17.在zap中的站点位置即会出现当前访问的站点http:/192.168.200.17。如图所示:18.我们右击http:/192.168.200.17,在弹出的猜中选择攻击-爬行站点。zap的蜘蛛会爬行网站的所有URL地址以便于我们进一步分析。如图所示:19.爬行时间长短根据对方网站的大小来决定的,我们测试的网站比较小,所以完成时间比较快,在下方的抓取过程中发现的URL里,可以看到该网站的所有地址做

6、进一步的分析。如图所示:20.右击http:/192.168.200.17选择攻击-端口扫描主机,可以查到对方目前开启的端口。如图所示:21.接下来会进入扫描状态,下边会有进度条进度显示,再往下就是扫描出当前对方开启的端口列表。我们根据这些端口可以看到对方开启了21,25,80,110等端口,根据这些信息我们可以探测是否可以用FTP和IIS中的漏洞进行测试。如图所示:22.接下来再次右击http:/192.168.200.17,选择攻击-主动扫描站点,可以对该站点进行漏洞扫描。如图所示:23.扫描完毕后 ,点击警报选项卡,会看到当前网站的所有警告信息,分为信息泄露警告,中级漏洞警告和高级漏洞警

7、告。如图所示:24.单机sql注入,然后单击某个具体的url地址,会自动弹出当前漏洞的详细信息,比如级别,可靠性,参数,攻击行为和具体描述,解决方案等信息。网站管理人员或者开发人员就可以根据这些信息修复漏洞。如图所示:25.接下来可以看看该软件的其他的功能,比如编码/解码功能。如图所示:26.输入basic字符,可以看到该字符的sha1哈希以及md5哈希,比较方便。如图所示:27.在分析工具栏里还有策略编辑,里边针对信息收集,服务器安全,注入等选项有具体的设置方法,可以根据自己的情况自行设置。如图所示:28该软件还有报告功能,可以输出多种格式的报告,比如xml,html等多种格式,要设置文件具体存放的路径,一般输出html就可以。如图所示:29.保存后,软件会自动打开报告,然后浏览器中浏览表格型的详细报告。如图所示:

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2