最近burp的licence到期了,大家都在考虑什么工具,什么不限制时间的bp啊,小提琴啊,花瓶啊,都开始被大家想起来了。不过除了小提琴,貌似都要收费。我突然想起来,还有一个工具,是owasp的zap,不用担心licence,不用担心安全问题(owasp还是比较放心的)。
给大家做一个和bp的常用功能对比图,大家可以在过渡期试试哈。该版本zap为2.7版本。
开始界面

像bp开始界面的这个不知道有多少人在用,我是由于工作原因,需要测试的网站多,所以需要该功能,第一项临时项目,几乎就是等于不保存了,对照owasp zap的功能在下图红色箭头所指处

新建项目(就是bp的第二个),对照为zap的第二项,第一项也可以,但是会用时间戳作为文件名,找起来不方便啊。
代理
先说一下代理吧,毕竟这是第一步要配置的。
Bp的话在这里配置

Zap里面配置在

然后zap还很贴心的出了一个功能,一键启动浏览器,不用配置代理,启动的浏览器直接可以抓包,有内置的JxBrowser,还有本机安装的浏览器,比如,ie、ff、chrome。

请求和响应
抓个包试一下
Bp的请求包和响应包在这里

Zap的请求和响应,在右上角,刚开始换工具,会有点不适应。

爬虫
Bp直接右键就可以让爬虫去爬了,很方便

Zap的爬虫也是右键,在攻击里面

扫描
Bp的扫描是右键host主机

Zap的也是右键host主机,然后在攻击目录中有主动扫描,感觉zap的测试也没有说特别好,仅供参考吧!

由于被动扫描一般扫不出什么功能,所以我也不用,这里就没细说,如有需要请留言。
爆破
Bp中的是直接右键发送到intruder中

具体配置payload,不解释了,大家都懂
Zap的爆破在fuzz里面

和bp一样,添加需要爆破的点。建议先reset一下。
当点完一项的时候,会自动弹出来一个payload选项

一般都用字典爆破,就选文件,如果选多个payload,会自动组合爆破,如果有需求用户名和密码一样爆破的话,目前没找到在哪里可以设置,欢迎一起讨论。

重放
Bp的直接右键发送到repeat即可

Zap的也是直接右键,选择重发送即可


解密Bp中解密的位置,直接将内容发送到decoder中即可

Zap中,在工具选项里面找到编码、解码、哈希,或者选中需要编码或者解码的字符串,右键发送到编码中。

其他部分暂未对比,欢迎大家一起来讨论。

点击收藏 | 1 关注 | 1
追加 于 2017年12月13日 10:36

PS:本文不作为教大家如何使用工具,只是提供个对比项,方便大家对比使用而已。


登录 后跟帖