OWASP ZAP(Zed Attack Proxy)是一个全能的 Web 安全测试工具。它包含以下功能:Proxy、被动和主动漏洞扫描器、Fuzzer、Spider、HTTP Request Sender以及其它很多有趣的功能。这篇文章,我们将体验 ZAP 最近刚刚加入的 “Forced Browse”,是一款在 ZAP 中对 DirBuster 的实现功能。
实施步骤
首先,打开我们的漏洞靶机:Vulnerable_VM 【配置参见:测试环境搭建】
这里,我们需要 owasp-zap 成为浏览器的代理。
现在我们在 Kali 上打开 owasp-zap 软件 (Applications -> 03 - Web Application Analysis -> owasp-zap)。
打开Iceweasel,Edit -> Preference -> Advanced -> Network -> Settings,如下图:
在弹出的窗口配置代理,如下图红圈所示,配置完后点击 OK:
现在回到 oswasp-zap ,点击 Tools -> Options -> Force Browse,然后点击 Select File...
Kali 本身自带一些词汇清单,这里我们选择其中一个:
/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt
然后点击 Open
点击 OK ,退出 Options 对话框,下面,打开浏览器,访问:
http://192.168.150.143/WackoPicko/
这里,我们看到,在访问 WackoPicko 站点的时候,ZAP 的 Sites 窗口以 Tree 视图显示了我们刚刚访问的资源页面:
现在,我们右击 WackoPicko 目录,选择 Attack -> Forced Browse directory,然后 ZAP 的下方将出现 Forced Browse 标签页,这里显示扫描的进度和结果:
备注
Kali Linux 中另外一个很有用的代理是 BurpSuite。它里面有一个和 ZAP 的 Forced Browse 类似的功能叫做 Burp's Intruder。BurpSuite 也是一个多功能的工具,有时间可以自己尝试一下。
