开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
什么是ZAP
OWASP ZAP,全称是OWASP Zed attack proxy,是一款web application 集成渗透测试和漏洞工具,同样是免费开源跨平台的。
ZAP主要覆盖了安全性测试里渗透测试即对系统进行模拟攻击和分析来确定其安全性漏洞。ZAP能够以代理的形式来实现渗透性测试,它将自己和浏览器之间设置一个中间人的角色,浏览器与服务器的任何交互都将经过ZAP,ZAP则可以通过对其抓包进行分析、扫描。
主要拥有以下重要功能:
n 本地代理
n 主动扫描
n 被动扫描
n Fuzzy
n 暴力破解
OWASP ZAP 下载地址
github地址:https://github.com/zaproxy/zaproxy
OWASP ZAP 官方下载地址:https://www.zaproxy.org/download/
OWASP ZAP 安装
下载地址中下载对应的安装包进行安装,注意需要安装jdk环境
OWASP ZAP使用
我这里安装的是mac版本的,就使用mac版本来演示
首次启动zap
看到以下对话框,询问是否要保持ZAP进程。
保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果等。
一般来说,如果对固定的产品做定期扫描,应该保存一个进程做为长期使用,选第一或者第二个选项都可以。
如果只是想先简单尝试ZAP功能,可以选择第三个选项,那么当前进程暂时不会被保存。
剩余内容,点击原文>>>