OWASP ZAP简介

OWASP ZAP 攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一，ZAP可以帮助我们在开发和测试应用程序的过程中，自动发现Web应用测试中的安全漏洞。另外，它也是一款提供具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

OWASP 优&缺点

1.优点

（1）免费的web application 扫描器
（2）更加集成性，更加完整，功能更加完善，用途更加广泛，平台稳定性也更好的web扫描器

2.缺点

（1）现阶段ZAP中文支持做的不是太好，基本的操作界面还是用英文 # 也不算是缺点吧
（2）就插件而言，没有BurpSuite工具丰富

OWASP ZAP 主要功能介绍

1.界面介绍

2.默认监听的端口是8080，如果要更改端口，则点击选项按钮进行修改即可。

3.更新插件

(1)Release:经过长期的测试使用，现在已经是正式发布版本。很稳定

(2)Beta:不太成熟，但是已经推出使用，可能有缺陷

(3)Alpha:比Beta还要Beta的版本

4.扫描模式

安全：比较安全的方式去扫描网站，不会对网站进行任何破坏性的操作
保护：只对指定的网站做一些危险性的扫描
标准：会有一些危险的扫描动作，有可能对目标网站做一些破坏，但破坏不会很大
攻击：能扫多少扫多少（慎重使用）

5.证书安装

6.API

http://zap/ # 需要开启ZAP监听情况下访问，该网站提供API方便开发人员使用

7.扫描策略

1.默认警告阈值：简单的理解为扫描器发现漏洞的信息强度，一般中等即可，防止漏报误报
2.默认攻击强度：参考扫描模式
3.应用的是阈值：To针对的是ZAP已经安装的插件

8.常见的解释

1.http session：更改不同的sessions，可以让ZAP用不同的身份去扫描
2.防止CSRF：部分网站有防止CSRF攻击，从而设置Token，该功能让ZAP允许进行CSRF测试。将网站的CSRF变量名输入即可
3.Passive Scan Rules：被动规则扫描的内容设置