一、OWASP ZAP介绍
OWASP ZAP是一款开源的web安全工具,它简单易用,与burp suite相似,主要功能包含了:代理、数据拦截修改、主动扫描、被 动扫描、主动攻击、爬虫、fuzzing、渗透测试。
二、OWASP ZAP下载地址
(1) ZAP下载地址:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
(2) ZAP中国:http://www.owasp.org.cn/
三、OWASP ZAP 安装环境
本人:jdk1.8 + owasp2.7.0 windows版本,其余可以使用kalinux集成的zap
四、启动zap
(1)保存会话,基于时间戳的方式
(2)保存会话到本地指定目录
(3)仅本次使用,不保留历史记录
一般默认选择第二项,点击开始
(4)设置浏览器代理,默认监听8080端口
五、案例测试演示
(1) url to attack 数据被测试地址:http://www.baidu.com,点击攻击
(2) 点击左侧站点,查看爬取到内容
(3) 下方点击历史记录
(4)查看下方警报查看告警信息,分为高中低,一般高和中警报需要做修改和加固
(5)查看测试报告
(1)点击上方报告,导出html
