最近一次偶然的机会,接触到了一款开源的网络安全工具OWASPZAP,果然大放异彩。操作简单,功能齐全,插件丰富。具有代理、数据截断、扫描、主动攻击、爬虫、模糊测试、渗透测试等多种安全测试功能,与商业版的BurpSuite和AppScan工具相比,OWASPZAP不乏不错的替代工具对于商业版,也是安全人员上手的绝佳体验工具。本文将根据OWASPZAP工具的特点,将其与BurpSuite和AppScan工具进行对比,体验工具的强大功能。OWASPZAP(全称OWASPZedAttackProxy)是由全球安全组织OWASP推出并定期维护更新的开源工具。ZAP专为测试Web应用程序而设计,具有灵活性和可扩展性。实现渗透测试的形式,他把自己放在用户的浏览器和服务器之间,充当中间人的角色,浏览器和服务器的所有交互都要经过ZAP,这样ZAP就可以获取到这些交互的所有信息,并可以进行分析他们,扫描它们,甚至在发送之前重新包装它们。首先用下表直观比较下三个工具的常用功能:相信看完这张表,你不禁感叹OWASPZAP工具的功能之齐全。BurpSuite主要依靠其强大的插件集成,擅长通过拦截、修改、重放数据包来挖掘漏洞。AppscanSrandard是一款能够自动检测目标网站漏洞的安全扫描工具,具有完善的扫描功能和漏洞挖掘能力,以及完备的漏洞处理建议。前两者是商业工具,而ZAP结合了两者的特点,依托于OWASP组织的强大背景,逐渐演变成一个功能齐全、开放的工具。接下来针对不同的特性,将ZAP与这两款工具进行对比。1.OWASPZAP和BurpSuite1。工作区保存BurpSuite支持临时保存项目、创建新项目、打开现有项目三种方式,并且可以对工作区进行管理。ZAP也可以选择通过保存session来保存测试过程中的所有内容。2.基本页面BurpSuite页面分为多个选项卡。其中Target页面①显示抓取的站点目录,②显示抓取的某个站点的流量数据。选择某个数据后,其请求显示在③和响应消息中,④显示被动扫描发现的缺陷,⑤显示缺陷的具体细节。ZAP页面除了常规的菜单栏和工具栏外,①显示抓取的站点目录,②③是对选中一条数据的请求或响应消息(逐页显示消息头和消息内容),④实时显示捕获⑤显示工具的执行状态和警告摘要。3.代理设置BurpSuite中的Proxy模块作为其核心功能,拦截HTTP/S代理服务器,作为浏览器和目标应用程序之间的中间人,允许拦截、查看和修改原始双向数据流.ZAP也采用了设置代理的方式。代理在设置LocalProxies中配置,默认设置为127.0.0.1:8080。4.RequestandResponseBurpSuite中的Target模块可以显示所有抓取到的流量数据文本的请求和响应报告,并以tab方式展示。ZAP还可以显示所有数据流量的请求和响应消息,并可以选择多样式视图。5、消息截断BurpSuite具有消息拦截、查看、修改等多种操作。使用灵活方便,是该工具最突出的功能之一。ZAP也有查看、截断和修改消息的功能,但是截断和发送后的响应时间稍长,整体响应没有BurpSuite快。6、暴力破解BurpSuite的爆破功能是在Intruder选项卡中完成的。该部分可以实现自定义功能,通过添加payload(XSS、SQLI等)实现自动攻击或密码爆破。ZAP的爆破是在fuzzer中实现的,大量的攻击操作也可以通过自定义的字典加入选定的参数中,fuzzer自带很多漏洞payload。7.编码和解码BurpSuite中的Decoder选项卡可以对消息内容进行编码和解码,并支持多种加密和解密方式。在ZAP中,通过选择必填字段,然后右击选择编解码器,可以对消息中的内容进行编码、解码和散列。以上就是BurpSuite工具的代表功能,而BurpSuite和ZAP还包含丰富的插件,并提供API,开发者可以定制自己的程序。对于漏洞扫描,这三个工具都有自动扫描功能,但是BurpSuite的扫描功能目前没有Appscan全面,所以下面主要比较ZAP和Appscan的扫描功能。二、OWASPZAP与AppScanStandard1、在爬虫Appscan中,爬虫操作被称为“探索”。网页发送和返回的内容是统一语言的HTML。通过分析HTML语言,找到里面的参数和链接,记录并继续发送,然后爬取网站结构。ZAP支持两种爬取方式,一种是传统的爬取技术,一种是ajax爬取。Ajax技术使用JavaScript生成链接。ZAP的ajax爬虫通过调用浏览器进程探索Web应用程序,并跟踪动态生成的链接。2、策略配置Appscan支持全面的扫描配置,可以针对不同的扫描目标配置不同的扫描策略和测试策略。ZAP可以根据情况自定义扫描策略。该策略包括两个参数:告警阈值和攻击强度,可以分别配置为信息采集、客户端浏览器、服务器安全、杂项和注入。3.Scan“ScanRuleBase”、“Explore”、“Test”构成了AppScan的三大核心要素。ZAP支持自动扫描和手动扫描两种测试方式,并提供Appscan(Web应用)和外部设备/客户端(Appscan作为记录代理)两种探索方式。ZAP支持主动扫描和被动扫描两种方式,可根据测试目标情况选择相应的测试方式。被动扫描可以自动检测所有以代理形式接收到的请求和响应消息,它不会以任何形式改变任何反馈信息,并且可以提供一些基本的网络安全信息。主动扫描提供自动扫描和手动扫描。它会使用一些预设的攻击来发现更多的漏洞。对于被测目标,主动扫描会发起真正的攻击,可能造成损失。下图是两个工具实时记录扫描进度和扫描内容。4、查看扫描结果Appscan工具提供了完整的漏洞详情,包括漏洞类型、数量、涉及的URL、消息中的具体位置、问题详情、修正建议等,方便用户确认漏洞是否真实存在。ZAP工具在警报选项卡上显示漏洞详细信息。所有风险项均可展开,ZAP会在右侧窗口提供风险项的说明和解释,并在右上方响应区高亮显示特定风险项的来源(来自对响应的分析)。5.Replay回放操作是确认漏洞是否报错的有效方式。Appscan可以再次手动测试检测到的漏洞。ZAP基本上具有与Appscan结构相同的重放功能,可以编辑消息。综上所述,可以看出OWASPZAP工具基本上具备了BurpSuite和Appscan的主要安全测试功能,但也存在诸多不足。与BurpSuite相比,其抓包、改包等渗透测试功能操作起来不如BurpSuite灵活;与Appscan相比,它的扫描更轻便,即操作简单,扫描速度快。不过漏洞挖掘没有Appscan那么深入,但这丝毫不影响人们对它的好感。OWASPZAP基本可以满足安全测试所需的功能,而且作为一款免费的开源工具,对于学生或者安全初学者来说绝对是一个不错的选择。
