（转）OWASP ZAP下载、安装、使用（详解）教程

OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

也可以说：ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

主要拥有以下重要功能：

本地代理
主动扫描
被动扫描
Fuzzy
暴力破解

一、OWASP ZAP 下载地址

github项目：https://github.com/zaproxy/zaproxy/wiki/Downloads

二、OWASP ZAP 安装

安装我就不多说了，它有Windows（64）安装程序、 Windows（32）安装程序、 Linux安装程序、 MacOS安装程序等。

Windows下载下来的是exe的，双击就可以了！

Linuxg下载下来的不是.sh就是tar.gz，这个就更加简单了。

唯一需要注意的是：Windows和Linux版本需要运行Java 8或更高版本。MacOS安装程序包括Java 8；

三、OWASP ZAP使用教程（详解）

由于Kali Linux里面也集成了OWASP ZAP工具，我就拿Kali Linux里面的OWASP ZAP来做示例吧！

1、更新

由于owasp zap 官方不定期的会更新zap插件和zap版本，我们可以通过手动更新的方式如下：

如果你想更新单个，你可以这样：后面如果出现【更新】的字样的话，可以选择后【update selected】更新即可！

Marketplace为插件市场，是选择性安装的插件。主要分为一下3类的插件：

release：为经过长期验证比较成熟的插件
beta：为正在测试测试中的插件，可能会出现问题
alpha：比beta更加低的测试版插件

建议release和beta版的都安装上，alpha版本的可选择性安装！

2、本地代理设置

给firefox 浏览器设置http代理（也可以是其他浏览器），owasp zap默认使用8080端口开启http代理；

如果你想修改owasp zap默认的代理，owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改：

3、简单攻击

然后我们再去火狐浏览器上随意访问任何网站，都可以截取到访问的网址，从而实现攻击。

攻击是需要有步骤的：

首先：手动爬行网站后，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory（and children）。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取（你也可以自定义字典）。

以上的目的是尽量的爬行出网站的所有链接页面！

其次：以上工作做完以后，就可以选择该站点进行active scan（主动扫描）

主动扫描上面有一些相关设置，例如：信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置，不是很了解的朋友们只需要用默认的即可！

最后：主要就是查看扫描结果，主动扫描后，针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题，主要查看高危和中危漏洞，查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

如果你想验证该漏洞的真实有效性，你可以选择该漏洞点进行相应安全工具再进一步的测试！

4、persist session结果保存

【文件】-【persist session】，该功能主要保存“扫描分析的结果”,方便下次继续分析！

5、扫描模式

主要有4中扫描模式：安全模式、保护模式、标准模式、攻击模式；

owasp zap默认用的是标准模式，你可以在【编辑】- 【ZAP Mode】中选择你想要的模式。

6、扫描策略

有两个地方可以添加扫描策略（1）【分析】-【扫描策略】，（2）设置按钮

扫描策略你可以自己随意设置的！如果不懂就用默认的吧！

Policy：扫描策略名称，需要填写
Default Alert Threshold：告警阀值，有low、medium、high，阀值越高owasp zap扫描爆出的漏洞数就越少，阀值越高owasp zap就只爆出确认的漏洞高的。
Default Attack Strength：攻击强度，有low、medium、high、insane，强度越高，扫描速度越快
Apply xx Threshold to All：把告警阀xx值给所有扫描插件，点击go 生效
Apply xx Strength to All：把扫描强度xx应用给所有扫描插件，点击go 生效

7、扫描时跳过某个插件扫描

在【扫描监控】中，点击旁边的蓝色按钮，可跳过该插件的检测！

8、CSRF Tokens设置

部分网站有防止csrf的token，无法正常提供token网站会重定向，可以通过owasp zap 的anti csrf tokens功能来添加该网站的token名称，告知owasp zap。

在【设置】-【Anti CSRF Tokens】里添加。

9、设置代理后，https网站证书不受信任问题

owasp zap 进行代理时，浏览器访问https的网站，owasp zap使用自己的证书与浏览器建立ssl连接，由于owasp zap证书不受信任，因此需要把owasp zap的证书手动导出（cer格式的证书），导入到浏览器中即可！

导出owasp zap的证书的方法【设置】-【Dynamic SSL Certificates】；

10、contexts／scope 站点过滤

该功能可快速的定位自己关心的站点；

11、session properties

owasp zap 扫描站点的所有session结果都保存在session properties 中，默认是手动通过浏览器填写账号密码来记录session；

12、http session

owasp zap 默认有如下的字段名，如果网站中有其他自定义的session名，需要自己添加进来；

查看http session的值；

13、编码解码工具

【工具】-【编码解码哈希】

14、爬行useragent设置

【设置】-【connection】

15、fuzzer模糊测试（漏洞检查工具）

直接右键需要fuzzer的http包，选择fuzzer，选中需要fuzzer的值，添加payload；

这里以sql注入的fuzzer为例，选择一个参数值，点击add，选择fuzzer的类型；

再查看fuzzer的测试结果;

16、代理截断

owasp zap默认使用8080代理，截断默认关闭，要启动阶段需要点击。

owasp zap截断功能响应太慢，没burpsuit的好用！