专栏首页玄魂工作室Kali Linux Web渗透测试手册(第二版) - 3.6 - 使用ZAP的爬虫功能

Kali Linux Web渗透测试手册(第二版) - 3.6 - 使用ZAP的爬虫功能

翻译来自掣雷小组

成员信息:

thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt

本期封面大图地址:http://www.internalvoices.org/transfile/big/97/978161_kali-linux-wallpaper-1920x1080.jpg

标记红色的部分为今日更新内容。

第三章、使用代理、爬行器和爬虫

3.0、介绍

3.1、使用DirBuster寻找敏感文件和目录

3.2、使用ZAP寻找敏感文件和目录

3.3、使用Burp Suite查看和修改请求

3.4、使用Burp Suite的Intruder模块发现敏感目录

3.5、使用ZAP代理查看和修改请求

3.6、使用ZAP的爬虫功能

3.7、使用Burp套件爬虫一个网站

3.8、使用Burp套件的中继器重复请求

3.9、使用WebScarab

3.10、从爬行结果中识别相关文件和目录


3.6使用ZAP的爬虫功能

在web应用程序中,爬虫(crawler)或爬行器是一种工具,它可以根据网站中的所有链接自动浏览网站,有时还可以填写和发送表单。这允许我们获得站点中所有引用页面的完整映射,并记录获取这些页面的请求和响应。

在这个小节中,我们会用ZAP的爬行功能,在我们脆弱的虚拟机器vm_1上爬行一个目录,然后我们将检查它捕捉到的信息。

实战演练

我们将使用BodgeIt(http://192.168.56.1/bodgeit/)来说明ZAP的爬行功能是如何工作的。参考以下步骤:

1. 在Sites选项卡中,打开与测试站点对应的文件夹(本书是http://192.168.56.11)。

2. 右键单击得到:bodgeit。

3. 从下拉菜单选择 Attack | Spider:

4. 在Spider对话框中,我们可以判断爬行是否递归(在找到的目录中爬行)、设置起点和其他选项。目前,我们保留所有默认选项,并点击开始扫描:

5. 结果将出现在Spider选项卡的底部面板:

6. 如果我们想分析单个文件的请求和响应,我们会去Sites选项卡,打开site文件夹,查看里面的文件和文件夹:

原理剖析

与其他爬行器一样,ZAP的爬行功能会跟随它在每一页找到的链接,包括在请求的范围内和它内部的链接。此外,此蜘蛛遵循“robots.txt”和“sitemap.xml”文件中包含的表单响应,重定向和URL,然后存储所有请求和响应以供以后分析和使用。

其他…

在爬行一个网站或目录之后,我们可能希望使用存储的请求来执行一些测试。使用ZAP的功能,我们将能够做以下事情,其中包括:

  • 重复修改一些数据的请求
  • 执行主动和被动漏洞扫描
  • 输入模糊变量,寻找可能的攻击向量
  • 在浏览器中打开请求

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Kali Linux Web渗透测试手册(第二版) - 4.8- 执行跨站点请求伪造攻击

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt

    用户1631416
  • Kali Linux Web渗透测试手册(第二版) - 3.5 - 使用ZAP代理查看和修改请求

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt

    用户1631416
  • Kali Linux Web渗透测试手册(第二版) - 3.2 - 使用ZAP寻找敏感文件和目录

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    用户1631416
  • 爬虫与反爬虫的博弈

    近来这两三个月,我陆续将自己学到的爬虫技术分享出来。以标准网络库 urllib 的用法起笔,接着介绍各种内容提供工具,再到后续的 scrapy 爬虫框架系列。我...

    猴哥yuri
  • python网络爬虫合法吗

    Python现在非常火,语法简单而且功能强大,很多同学都想学Python!所以小的给各位看官们准备了高价值Python学习视频教程及相关电子版书籍,欢迎前来领取...

    python学习教程
  • Python爬虫学到什么程度就可以去找工作了?

    有朋友在群里和大家讨论,问的最多的问题就是,python 爬虫学到什么程度可以去找工作了,关于这点,和大家分享下我的理解。

    云飞
  • 【程序源代码】python爬虫

    多种电商商品数据爬虫,整理收集爬虫练习。每个项目都是成员写的。通过实战项目练习解决一般爬虫中遇到的问题。通过每个项目的 readme,了解爬取过程分析。对于精通...

    程序源代码
  • 零基础如何学Python爬虫技术?

    如何入门爬虫?零基础如何学爬虫技术?那前提肯定会是需要学习一门 简单易入门 的编程语言了,就作者而言, python 无疑是最合适的!到2014年7月为止,在美...

    机器学习和大数据挖掘
  • 推荐一条高效的Python爬虫学习路径!

    如果你仔细观察,就不难发现,懂爬虫、学习爬虫的人越来越多,一方面,互联网可以获取的数据越来越多,另一方面,像 Python这样的编程语言提供越来越多的优秀工具,...

    python学习教程
  • python3 爬虫工作原理

    网络爬虫我们一般简称为爬虫或者蜘蛛,它是一个自动抓取网络信息的程序或代码脚本。 如果我们把互联网看成一张巨大的蜘蛛网,上面链接着各种各样的网页数据,爬虫就像蜘蛛...

    python鱼霸霸

扫码关注云+社区

领取腾讯云代金券