您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

安全工具OWASP、Burp Suite、Appscan对比

时间:2020-10-22 12:07:21  来源:  作者:

机缘巧合,最近接触了一款开源的web安全工具OWASP ZAP,着实眼前一亮。操作简单易用、功能齐全、插件种类丰富,具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等多样的安全测试功能,相比于商业版的Burp Suite和AppScan工具,OWASP ZAP不乏为一款不错的商用版替代工具,也是安全人员入门的极佳体验工具。本文将根据OWASP ZAP工具特性,分别将其与Burp Suite、AppScan工具进行对比,来感受该工具的强大功能。

OWASP ZAP(全称OWASP Zed Attack Proxy)是由全球性安全组织OWASP推出并定期维护更新的一款开源工具,ZAP专为测试Web应用程序而设计,并且既灵活又可扩展,它是以架设代理的形式来实现渗透性测试,他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描、甚至是改包再发送。

首先通过下表直观对比下三款工具对于常用功能的具备情况:

安全工具OWASP、Burp Suite、Appscan对比

 

  相信小伙伴们看完表格也会不禁感叹一下OWASP ZAP工具的功能之齐全。Burp Suite主要依托于其强大的插件集成,擅长于通过拦截、修改、重放数据包方式挖掘漏洞,Appscan Srandard为一款安全扫描工具,可自动化检测目标网站的漏洞情况,扫描功能完善且漏洞挖掘能力较强、漏洞处理建议完备。前两者均为商业型工具,ZAP则结合了二者的特性,依托OWASP组织强大的实力背景,逐步演变成了一款功能齐全、开放性的工具。接下来,针对不同特性,将ZAP分别与这两款工具进行功能对比。

  1.OWASP ZAP与Burp Suite

  1.1 工作空间保存

  Burp Suite支持临时保存项目、新建项目、打开已存项目三种方式,可对工作空间进行管理。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP通过保存会话的方式同样可以选择将测试过程中所有内容进行留存。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.2 基础页面

  Burp Suite页面分为多个页签,其中Target页面中①陈列出捕获到的站点目录,②展示某个站点抓取到的流量数据,选中某个数据后在③中显示其请求和响应报文,④展示被动扫描发现的缺陷,⑤为缺陷具体详情。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP页面除常规的菜单栏、工具栏外,①陈列出捕获到的站点目录,②③为选中的某条数据的请求或响应报文(分页显示报文头和报文内容),④实时展现捕获的数据流量,⑤展示工具的执行状态以及警告的汇总。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.3 代理设置

  Burp Suite中的Proxy模块作为其核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看、修改在两个方向上的原始数据流。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP同样采用架设代理的方式,其代理配置在设置的Local Proxies中,默认设置为127.0.0.1:8080。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.4 请求与响应

  Burp Suite中Target模块可展示所有抓取的流量数据的请求和响应报文,并分页签显示。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP中同样可展示所有数据流量的请求和响应报文,并且可选择多样式视图。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.5 报文截断

  Burp Suite具备对报文拦截、查看、修改等多种操作,使用上灵活方便,算是工具最出彩的一部分功能。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP同样具备报文的查看、截断、修改等功能,但截断再发送后等待的响应时间稍微较长,整体不如Burp Suite敏捷。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.6 暴力破解

  Burp Suite的爆破功能在Intruder页签中完成,这部分可实现定制化的功能,通过添加payload(XSS,SQLI等等)来实现一个自动化的攻击或是密码爆破。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP的爆破是在Fuzzer中实现,同样可对选定参数添加定制化的字典进行大量的攻击操作,并且Fuzzer中自带了许多漏洞的payload。

安全工具OWASP、Burp Suite、Appscan对比

 

  1.7 编码和解码

  Burp Suite中Decoder页签可对报文内容进行编码和解码,支持多种加解密方式。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP中通过选中需要字段,然后右键选择编解码可对报文中内容记性编码、解码、哈希操作。

安全工具OWASP、Burp Suite、Appscan对比

 

  以上是Burp Suite工具比较具有代表性的功能,并且Burp Suite和ZAP同样含有丰富的插件,并提供API,开发者可定制自己的程序。对于漏洞扫描,这三个工具都具备自动化的扫描功能,但是Burp Suite的扫描功能目前不如Appscan全面,因此接下来将主要对比下ZAP与Appscan的扫描功能情况。

  2.OWASP ZAP与AppScan Standard

  2.1 爬虫

  Appscan中将爬虫操作称为"探索",利用网页发送和返回的内容都是统一的语言 html,通过对 HTML 语言进行分析,找到里面的参数和链接,记录并继续发送之,进而对网站结构进行爬取。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP中支持两种爬虫方式,一个是传统的爬虫技术,另一种是ajax爬虫。ajax技术是通过JAVAScript来生成链接,ZAP的ajax爬虫通过唤起浏览器进程来探索Web应用,并且会追踪动态生成的链接。

安全工具OWASP、Burp Suite、Appscan对比

 

  2.2 策略配置

  Appscan支持全面的扫描配置,针对不同的扫描目标,可配置不同的扫描策略、测试策略。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP可根据情况自定义扫描策略,策略中包含报警阀值和攻击强度两个参数,且可以分别对信息收集、客户端浏览器、服务器安全、杂项、注入等多各方面分别进行配置。

安全工具OWASP、Burp Suite、Appscan对比

 

  2.3 扫描

  "扫描规则库"、"探索"、"测试"构成了AppScan的核心三要素。ZAP支持自动扫描和手动扫描两种测试方式,并提供Appscan(Web应用)和外部设备/客户机(Appscan作为记录代理)两种探索方式。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP支持主动扫描和被动扫描两种方式,可根据测试目标情况,选取相应的测试方式。被动扫描可对所有以代理形式接收到的请求和响应报文进行自动检测,它不会以任何形式改动任何反馈信息,可以提供一些基础的Web安全性信息。主动扫描提供自动扫描和手动扫描两种方式,会通过一些预设的攻击来达到发现更多漏洞的目的,对于被测目标而言,主动扫描会发起真实的、可能造成损失的攻击。

安全工具OWASP、Burp Suite、Appscan对比

 

  下图为两个工具实时记录扫描进度和扫描内容。

安全工具OWASP、Burp Suite、Appscan对比

 

  2.4 扫描结果查看

  Appscan工具提供完备的漏洞详情,包括漏洞类型、数量、涉及的URL、在报文的具体位置、问题详情、修订建议等,可方便使用者确认漏洞是否真实存在。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP工具在alert(警报)页签展示漏洞详情。所有风险项可以展开,ZAP在右侧窗口会对该风险项提供说明和解释,并且在右上部response区域高亮展示具体风险项由来(从响应中分析得出的)。

安全工具OWASP、Burp Suite、Appscan对比

 

  2.5 重放

  重放操作是确认漏洞是否报告有误的有效方式,Appscan可对检测的漏洞再次进行手动测试。

安全工具OWASP、Burp Suite、Appscan对比

 

  ZAP基本具备和Appscan相同结构的重放功能,并且可对报文进行编辑。

安全工具OWASP、Burp Suite、Appscan对比

 

综上可看出,OWASP ZAP工具基本具备Burp Suite和Appscan的主要安全测试功能,但其自身也存在多处不足的地方,相比于Burp Suite,其抓包、改包等渗透测试功能上操作不如Burp Suite灵活多样;相对于Appscan,其扫描更为轻量,即操作便捷、扫描迅速,然而漏洞挖掘情况不如Appscan更深层,但这一点儿也不影响人们对它的青睐,OWASP ZAP基本可以满足安全测试所需的功能,并且作为一款免费的开源工具,对于学生党或者安全入门人员绝对是一个不错的选择。

小伙伴们,赶快开始你的渗透测试生涯吧!



Tags:安全工具   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
“磨刀不误砍柴工”。 优秀的工具有助于提高工作效率,安全工程师也需要优秀的安全软件来提高工作效率。 在具体的工作场景中,有很多种选择,这里有10种开源的免费安全工具,不仅可...【详细内容】
2021-11-23  Tags: 安全工具  点击:(33)  评论:(0)  加入收藏
在昨天的微信《远程办公危机四伏,到底该pick谁给你保驾护航?》中介绍了远程员工应该具备的四大安全工具,今天继续分享干货:05 双因子令牌在理想的情况下,每个人都会对所有的关键...【详细内容】
2021-10-26  Tags: 安全工具  点击:(32)  评论:(0)  加入收藏
使用 Kali Linux 和其他开源工具来发现系统中的安全漏洞和弱点。众多被广泛报道的大型消费企业入侵事件凸显了系统安全管理的重要性。幸运的是,有许多不同的应用程序可以帮助...【详细内容】
2021-08-06  Tags: 安全工具  点击:(60)  评论:(0)  加入收藏
包括亚马逊AWS、微软和Google等主流云供应商都提供了本机安全工具套件,这些工具虽然有用,但并不是所有人都能掌握的。而且,随着云开发的发展,IT团队会发现这些云计算平台安全开...【详细内容】
2020-11-18  Tags: 安全工具  点击:(174)  评论:(0)  加入收藏
机缘巧合,最近接触了一款开源的web安全工具OWASP ZAP,着实眼前一亮。操作简单易用、功能齐全、插件种类丰富,具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等...【详细内容】
2020-10-22  Tags: 安全工具  点击:(333)  评论:(0)  加入收藏
一、TCP_Wrappers1. 简介全称是Transmission Control Protocol (TCP) Wrappers ,它是一个基于主机的网络访问控制列表系统。最初代码由Wietse Venema在1990年编写(比Linux的...【详细内容】
2020-08-14  Tags: 安全工具  点击:(132)  评论:(0)  加入收藏
本文汇总了2020年第二季度全球发布的最新Web安全工具。由于新冠疫情肆虐,2020年的DEF CON黑客大会已经转移到线上,但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑...【详细内容】
2020-07-11  Tags: 安全工具  点击:(125)  评论:(0)  加入收藏
通过DNS蛮力扫描黑客可以获得目标相对完整的子域名清单,利用这些子域名黑客可以:1)了解目标的业务系统架构及清单。2)找到隐藏的域名,隐藏的域名可能是还在处于开发阶段的系统,比...【详细内容】
2020-06-22  Tags: 安全工具  点击:(107)  评论:(0)  加入收藏
查找并排除你存储在 AWS 和 GitHub 中的数据里的漏洞。-- Alison Naylor,anderson Silva(作者)如果你的日常工作是开发者、系统管理员、全栈工程师或者是网站可靠性工程师(SRE...【详细内容】
2020-01-02  Tags: 安全工具  点击:(83)  评论:(0)  加入收藏
引言:那么,什么是蜜罐技术?蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和...【详细内容】
2019-11-13  Tags: 安全工具  点击:(360)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条