Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

发布时间:2020-07-15 10:02:07 作者:asdc11
来源:网络 阅读:22836

前提:

下载安装包,我已经放在了百度网盘中版本为windowsX64 2.7.0,有需要的可以去地址下载:https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ

由于ZAP工具是基于java的,所以电脑必须安装并配置jdk环境,我安装的是1.8.0;

安装和使用:
安装包是.exe的,一路Next即可,打开后样子如下:
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

我是在本机搭建了测试环境,本机即站点,所以要设置浏览器代理和ZAP代理,同时设置为127.0.0.1,端口号一致即可;

ZAP设置代理: 工具》选项
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

然后选择 Local Proxies,输入ip地址和端口号,点击OK按钮 即可;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

在浏览器中进行访问本站点的网址(不可以写localhost或者127.0.0.1,要写对应的ip地址)并登陆,ZAP就可以抓到包;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

在登陆url中右键,选择 Fuzz...

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

将需要替换的文本替换为字典后,点击 Start Fuzzer按钮,就开始进行了暴力破解;
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

暴力破解完成后,可以对响应的body体进行排序,一般情况下都是错误的返回,大小一致,找到不一样大小响应的请求,即为正确的用户和密码;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

推荐阅读:
  1. 如何使用免费的WEB应用防火墙
  2. 【运维安全】-web命令执行/XSS -05

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

owasp zap fuzzer

上一篇:使用linux的lvs命令报告有关逻辑卷的信息

下一篇:使用linux中shapecfg命令管制网络设备的流量

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》