什么是OWASP ZAP？

渗透测试就是模拟攻击者对系统进行攻击来发现系统的安全漏洞。ZAP是由OWASP开发的免费且开源的安全测试工具。它可以让您在Web应用中发现一系列安全风险与漏洞。由于支持Unix/Linux、Windows和Mac OS，即使您是渗透测试的新手，也能轻松地上手该工具。

核心功能：

• 支持认证、AJAX爬取、自动化扫描
• 支持强制浏览和动态SSL证书
• 支持Web套接字与即插即用(Plug-n-hack)
• 可以拦截代理
• 支持基于REST的API

ZAP工作原理

ZAP 的核心是所谓的"中间人代理"。它位于测试人员的浏览器和 Web 应用程序之间，以便拦截和检查浏览器和 Web 应用程序之间发送的消息，在需要时修改内容，然后将这些数据包转发到目的地。

术语

在正式上手之前，我们需要先了解一下ZAP的一些关键术语：

• Session：简单理解session就是你访问的站点信息，可以通过保存session以便下次使用时打开
• Context：它意味着一个Web应用程序或一组URL。在ZAP中创建的上下文将攻击指定的上下文，而忽略其余的上下文，以避免过多的数据
• Types of ZAP Attacks：通过使用不同的攻击类型点击和扫描URL可以生成相应的安全漏洞扫描报告
• Spider：爬虫会识别网站中的URL，检查超链接并将其添加到列表中。
• AJAX Spider：如果你的系统大量使用JavaScript，你需要使用它来爬取web应用
• alert：ZAP将安全警报分为高、中、低三类

安装

下载链接
https://www.zaproxy.org/download/，目前最新版本为2.10.0，根据自己的系统选择合适的版本，本文下载的为Window（64）Installer，安装过程非常简单，这里就不作详细介绍了。

windows和linux系统依赖Java8或更高版本，需要事先安装

ZAP、浏览器代理设置

打开ZAP的工具>选项菜单，设置ZAP代理，端口号默认是8080，可以自己修改

使用firefox作为测试用浏览器，需要设置firfox浏览器代理，这样浏览器的请求都会被ZAP代理服务器抓取到。

如果需要访问https链接，还需要将ZAP证书导入到firefox，ZAP证书通过工具>选项菜单中的Dynamic SSL Certificates选项进行生成。

以访问https站点为例，打开新浪网后页面会显示如下，点击告警并选择接受风险并继续，这样就可以打开https站点，如果不能打开站点请仔细检查ZAP和firefox的代理设置，确保没有错误。

生成报告

完成代理设置并通过firefox访问了站点之后，返回ZAP左侧导航栏可以看到多出了相应站点的信息，右键>攻击>主动扫描就会发起扫描任务。

扫描完成后，打开菜单项报告>生成HTML报告会生成扫描报告并默认打开报告