OWASP ZAP w2020-08-17发布:Web漏洞渗透测试工具

OWASP ZAP w2020-08-17发布:Web漏洞渗透测试工具

渗透测试, 漏洞扫描器, 黑客工具

OWASP Zed攻击代理(ZAP)是一个易于使用的集成渗透测试工具,用于发现web应用程序中的漏洞。它是为具有广泛安全经验的人设计的,因此对于新接触渗透测试的开发人员和功能测试人员是理想的,并且是有经验的渗透测试人员工具箱的有用补充。

ZAP提供了自动扫描器以及一组工具,允许您手动查找安全漏洞。

一些ZAP的特点:

开源
跨平台的
易于安装(只需要java 1.7)
完全免费(专业版无需付费)
易用性优先
全面的帮助页面
完全国际化
被翻译成十几种语言
以社区为基础,积极鼓励参与
一个国际志愿者团队正在积极开发

一些ZAP的功能:

拦截代理
传统和AJAX蜘蛛
自动扫描
被动的扫描仪
强制浏览
Fuzzer
动态的SSL证书
支持智能卡和客户端数字证书
Web sockets支持
支持广泛的脚本语言
Plug-n-Hack支持
身份验证和会话支持
强大的基于rest的API
自动更新选项
集成和增长的附加组件市场

OWASP ZAP w2020-08-17更新日志

会话管理脚本

现在可以定义处理非标准或更复杂会话管理的脚本。
会话管理脚本可以完全访问身份验证请求和响应,并可以定义自定义强制和可选参数。提供了一个OWASP果汁商店的会话管理脚本示例。

主动扫描过滤器

现在可以在活动扫描中过滤请求。以下是支持的准则:

HTTP方法
状态码
标签
URL模式
自定义全局/脚本变量

现在,脚本可以共享定制的全局/脚本变量,这些变量可以是任何类型,而不仅仅是字符串,例如,列表、映射、GUI模型。
在JavaScript中访问/设置如下:

var ScriptVars = Java.type("org.zaproxy.zap.extension.script.ScriptVars")

ScriptVars.setScriptCustomVar(this.context, "var.name", {x: 1, y: 3})
print(ScriptVars.getScriptCustomVar(this.context, "var.name").y) // Prints 3

ScriptVars.setGlobalCustomVar("var.name", ["A", "B", "C", "D"])
print(ScriptVars.getGlobalCustomVar("var.name")[2]) // Prints C

提升了以下扫描规则:

被动扫描规则–发布

  • 没有SameSite属性的Cookie
  • 跨域配置错误
  • 信息披露:URL
  • 信息披露:引荐来源
  • 信息披露:可疑评论
  • 服务器通过“ X-Powered-By” HTTP响应头字段泄漏信息
  • 时间戳记披露
  • 找到的用户名哈希
  • X-AspNet版本响应标题扫描程序
  • X-Debug-Token信息

过滤器类别移除

自ZAP 2.4.0起不推荐使用的过滤器功能的类/代码已被删除。仍在使用的加载项将停止工作。

捆绑图书馆的变化

删除了以下库:

  • JDOM
  • 差异实用程序

不再被核心使用,如果需要,附加组件应捆绑该库。以下库已更新:

  • 有弹性的城堡,1.61→1.64
  • Commons BeanUtils,1.9.3→1.9.4
  • 通用编解码器,1.12→1.13
  • 公用CSV,1.6→1.7
  • 公地文字,1.6→1.8
  • HSQLDB,2.4.1→2.5.0
  • Nashorn沙箱,0.1.25→0.1.26
  • RSyntaxTextArea,3.0.3→3.0.4
  • SQLite JDBC,3.27.2.1→3.28.0

增强功能

  • 2016年问题:如果发生冲突,请在GUI中选择唯一的端口
  • 问题2619:允许加载项声明/捆绑其依赖项
  • 问题3358:增强:选项面板筛选器
  • 问题3402:在脚本之间共享自定义变量
  • 问题3491:功能请求:选择多个上下文
  • 问题4963:允许指定登录页面的URI
  • 问题5278:能够过滤针对哪些活动扫描运行的请求
  • 问题5303:用于添加和更改警报的API调用
  • 问题5436:向上下文技术添加新语言
  • 问题5464:弃用Context.getIndex并实现Context.getId
  • 问题5466:将实用程序方法添加到Alert类
  • 问题5550:使用默认设置加载其他本地代理
  • 问题5563:在选项>键盘中包括导入/在线菜单
  • 问题5598:将站点证书的有效期修改为825d
  • 问题5614:手动请求编辑器图标
  • 问题5630:支持会话管理脚本
  • 问题5656:将Base64url添加到编码器/解码器工具
  • 问题5667:改进保存/导出时的权限和空间处理
  • 问题5671:在守护程序模式下检查更新
  • 问题5672:首次启动时不提示接受许可证
  • 问题5680:更新依赖项
  • 问题5681:删除未使用的依赖项
  • 问题5691:将上下文详细信息公开给被动扫描规则
  • 问题5696:直接将上下文技术集公开给被动扫描规则
  • 问题5723:AntiCSRF令牌添加新的默认值
  • 问题5756:HttpHeader为getHeaders(String)提供List变体
  • 问题5774:允许通过API启用/禁用所有被动标签
  • 问题5779:MacOS DMG –切换回HFS +
  • 问题5782:更新默认用户代理
  • 问题5785:在页脚主代理标签中添加列出所有代理的工具提示
  • 问题5795:在元刷新中处理引用的URL

Bug修复

  • 问题1164:手动“重新发送”在响应时设置cookie
  • 问题4003:使用“低内存”模式时出现问题。
  • 问题5427:在手动请求编辑器中更新HTTP协议版本
  • 问题5449:API没有响应-内部错误
  • 问题5452:请勿删除其他扩展的资源包
  • 问题5486:修复统计信息中的计数错误
  • 问题5487:添加已注册脚本类型的已保存脚本
  • 问题5490:未在身份验证请求中编码的反CSRF令牌
  • 问题5491:没有来自身份验证脚本的请求目标的身份验证请求导致异常
  • 问题5492:改进创建扫描策略时的错误处理
  • 问题5518:ZAP可能不使用传出代理身份验证凭据
  • 问题5585:ZAP 2.8.1挂在Kali上
  • 问题5613:在验证POST数据中解决缺少令牌的问题
  • 问题5619:-configfile选项可能对数组失败
  • 问题5622:一致的SessionTracking按钮同步
  • 问题5624:警报参数可能未正确加载
  • 问题5636:script.js从未在本地主机上提供
  • 问题5704:等待安装附加组件
  • 问题5743:“查找+取消”按钮既不居中也不向右对齐
  • 问题5744:改进“搜索”菜单项的标签
  • 问题5780:删除消息时不显示消息
  • 问题5783:默认情况下禁用JAR缓存
  • 问题5794:RegexAutoTagScanner的正确MailTo模式

OWASP ZAP w2020-08-17下载地址

①github:
github.com/zaproxy/zaproxy/releases/download/w2020-08-17/ZAP_WEEKLY_D-2020-08-17.zip
②雨苁网盘:
https://w.ddosi.workers.dev/
校验值:sha-256:
4836188a48c9ae209010e6a5e79c4ffff6b20dc2298dbafb0bbfd09888d7197d

kali linux安装方法:

apt-get install zaproxy

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注