技术文章

   巧合的是，我最近接触到了一个开源web安全工具OWASP ZAP，眼前一亮。操作简单易用，功能齐全，插件种类丰富，数据截断，扫描，主动攻击，爬虫，fuzzing、与商业版相比，渗透等多种安全功能Burp Suite和AppScan工具，OWASP ZAP作为一种很好的商用版替代工具，也是安全人员入门的极佳体验工具。本文将根据OWASP ZAP分别与工具特性相结合Burp Suite、AppScan比较工具，感受工具的强大功能。

   OWASP ZAP（全称OWASP Zed Attack Proxy）由全球安全组织组织OWASP推出并定期维护和更新开源工具，ZAP专为Web应用程序设计灵活可扩展。它以架设的形式实现渗透。他把自己放在用户浏览器和服务器之间，扮演中间人的角色，浏览器和服务器之间的所有交互都必须通过ZAP，这样ZAP所有这些交互信息都可以获得，分析、扫描甚至更改包发送。

   首先，通过下表直观比较下三种工具的常用功能：

   相信看完表格，朋友们会忍不住感叹。OWASP ZAP工具功能齐全。Burp Suite主要依靠其强大的插件集成，擅长通过拦截、修改、重放数据包来挖掘漏洞，Appscan Srandard对于安全扫描工具，目标网站的漏洞情况可以自动检测，扫描功能完善，漏洞挖掘能力强，漏洞处理建议完整。两者都是商业工具，ZAP结合两者的特点，依靠OWASP强大的组织实力背景逐渐演变成功能齐全、开放的工具。接下来，将根据不同的特点，ZAP与这两种工具进行功能比较。

   1．OWASP ZAP与Burp Suite

   1.1 保存工作空间

   Burp Suite支持临时保存项目、新建项目存项目、新建项目和开放现有项目来管理。

   ZAP保存会话也可以选择保留过程中的所有内容。

   1.2 基础页面

   Burp Suite页面分为多页签，其中Target页面中①展示捕获的网站目录，②显示网站捕获的流量数据，选择数据后③显示其请求和响应报文，④显示被动扫描中发现的缺陷，⑤对缺陷的具体细节。

   ZAP除常规菜单栏、工具栏外，页面上的页面，①展示捕获的网站目录，②③请求或响应所选数据的报文(分页显示报文头和报文内容)，④实时显示数据流量，⑤展示工具的执行状态和警告总结。

   1.3 设置

   Burp Suite中的Proxy拦截模块作为其核心功能HTTP/S作为浏览器和目标应用程序之间的中间人，服务器允许在两个方向上拦截、查看和修改原始数据流。

   ZAP也采用架设的方式，其配置设置Local Proxies默认设置为127.0.0.1:8080。

   1.4 请求与响应

   Burp Suite中Target该模块可以显示所有被捕获的流量数据的请求和响应报告，并分页显示。

   ZAP所有数据流所有数据流量的请求和响应，并可以选择多样化的视图。

   1.5 报文截断

   Burp Suite具有拦截、查看、修改报纸等多种操作，使用灵活方便，是工具最突出的功能之一。

   ZAP还具有查看、截断、修改报文等功能，但截断发送后等待响应时间稍长，整体不如Burp Suite敏捷。

   1.6 暴力破解

   Burp Suite爆破功能在Intruder通过添加页面签名，可以实现定制功能payload（XSS，SQLI等等)实现自动攻击或密码爆破。

   ZAP的爆破是在Fuzzer也可以在选定参数中添加定制字典进行大量攻击操作，Fuzzer有很多漏洞payload。

   1.7 编码和解码

   Burp Suite中Decoder页面签名可以编码和解码报纸的内容，支持各种加解密方法。

   ZAP通过选择所需的字段，然后右键选择编解码，记忆编码、解码容的编码、解码和哈希操作。

   以上是Burp Suite工具具有代表性功能，Burp Suite和ZAP它还富含插件，并提供API，开发人员可以定制自己的程序。对于漏洞扫描，这三种工具都具有自动扫描功能，但Burp Suite目前扫描功能不如Appscan因此，下一步将主要进行比较ZAP与Appscan扫描功能。

   2．OWASP ZAP与AppScan Standard

  2.1 爬虫

   Appscan爬虫操作称为探索 HTML，通过对 HTML 语言分析，找到参数和链接，记录并继续发送，然后爬上网站结构。

   ZAP支持两种爬虫方法，一种是传统的爬虫技术，另一种是ajax爬虫。ajax技术是通过JavaScript生成链接，ZAP的ajax通过唤起浏览器来探索爬虫Web并将跟踪动态生成的链接。

  2.2 策略配置

   Appscan支持全面的扫描配置，可以根据不同的扫描目标配置不同的扫描策略和策略。

   ZAP扫描策略可以根据情况定制，包括报警阀值和攻击强度两个参数，信息收集、客户浏览器、服务器安全、杂项、注入等方面可以分别配置。

  2.3 扫描

   扫描规则库AppScan核心三要素。ZAP支持自动扫描和手动扫描，并提供Appscan（Web外部设备/客户机（Appscan作为记录)两种探索方法。

   ZAP根据目标情况，支持主动扫描和被动扫描。被动扫描可以自动检测所有以形式收到的请求和响应报告。它不会以任何形式更改任何反馈信息，并可以提供一些基本信息Web安全信息。主动扫描提供两种方式：自动扫描和手动扫描，通过一些预设的攻击发现更多的漏洞。对于被测目标，主动扫描将发起真实的攻击，可能造成损失。

   下图显示了扫描进度和扫描内容的实时记录。

   2.4 查看扫描结果

   Appscan该工具提供完整的漏洞细节，包括类型、数量和涉及的漏洞URL、在报文的具 ** 设置、问题细节、修改建议等，方便用户确认漏洞是否真实。

   ZAP工具在alert(报警)页面签名显示漏洞细节。所有风险都可以扩展，ZAP风险项将在右上窗口进行说明和解释response区域亮点显示具体风险项的由来(从响应分析中得出)。

  2.5 重放

   重放操作是确认漏洞报告是否错误的有效途径，Appscan可再次手动检测到的漏洞。

   ZAP基本具备和Appscan同一结构的重放功能，可编辑报文。

   综上所述，OWASP ZAP基本上有工具Burp Suite和Appscan与主要的安全功能相比，它本身也有许多缺点Burp Suite，其抓包、改包等渗透功能不如Burp Suite相对于Appscan，扫描更轻，操作方便，扫描快，但是漏洞挖掘不如漏洞挖掘Appscan更深层次，但这并不影响人们对它的青睐，OWASP ZAP它基本上可以满足安全所需的功能，作为一种免费的开源工具，绝对是学生党或安全入门人员的好选择。

   朋友们，快开始你的渗透生涯吧！