阿萨教测试:Z AP1: 简单入门

大家好,我是阿萨。 现在Web 安全的重要性不言而喻。 作为测试人员呢,避免不了要进行安全测试。有些测试人员可能会有一些困扰,那就是我不懂安全测试怎么办?别着急,今天阿萨给大家共享一份Web 安全测试规范,专门给Web 安全小白准备的。

大家好,我是阿萨。 现在Web 安全的重要性不言而喻。 作为测试人员呢,避免不了要进行安全测试。有些测试人员可能会有一些困扰,那就是我不懂安全测试怎么办?

别着急,今天阿萨给大家共享一份Web 安全测试规范,专门给Web 安全小白准备的。 关注公众号,回复 【Web】获取 这份Web 安全测试规范。

阿萨教测试:Z AP1: 简单入门

看到这里,很多人就问了,这个和今天的主题有啥关系。 上面Web 安全规范内容中第一条测试用例里就用到了AppScan。但是大家都知道 AppScan 不是免费的。今天给大家隆重介绍下 OWASP 公认的 Web 安全扫描工具Zap。

OWASP Zed Attack Proxy 攻击代理服务器

世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞

下载地址:

https://www.zaproxy.org

以上地址下载最新版本后,直接安装。

用法:

1. 自动扫描网站

安装好zap 后,打开。

阿萨教测试:Z AP1: 简单入门

当您第一次启动ZAP时,系统会询问您是否希望持久化ZAP会话。

如果您不持久化会话,那么当您退出ZAP时,这些文件将被删除。

如果选择持久化会话,则会话信息将保存在本地数据库中这样您以后就可以访问它,并且您将能够为其提供自定义名称和位置保存文件。

现在,选择 No, I do not want to persist this session at this moment in time,然后选择 Start.

您将会看到如下界面。

阿萨教测试:Z AP1: 简单入门

点击 Automated Scan

阿萨教测试:Z AP1: 简单入门

在 URL to attack:输入需要测试的网址。 点击Attack。

自动扫描结束 在 Report 里导出想要的报告类型即可。是不是很简单?

阿萨教测试:Z AP1: 简单入门

2. 手动扫描网站

阿萨教测试:Z AP1: 简单入门

点击 Manual Explore

阿萨教测试:Z AP1: 简单入门

在“URL to explore ”文本框中,输入要浏览的web应用程序的完整URL

选择您想要使用的浏览器。

单击Launch Browser按钮。

探索完网站后,ZAP 会自动测试所有你扫描到的URL。测试结束后,保存结果即可。

是不是很简单?

有了入门工具和Web安全测试用例里 简单方便可执行用例。Web 安全测试入门无忧。大家可以看看用例里每一条详细的执行步骤都有列出,只要按照步骤执行即可。赶快下载下来去测试吧。Windows 适用哦。

阿萨教测试:Z AP1: 简单入门

别忘记, 关注公众号,回复 【Web】获取 这份Web 安全测试规范。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/87085.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信