OWASP ZAP下载、安装、使用（详解）教程 期货黄金开户流程详解视频讲解教程下载安装官网

OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。

也可以说：ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。

即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。

 

主要拥有以下重要功能：

本地代理主动扫描被动扫描Fuzzy暴力破解

 

一、OWASP ZAP 下载地址

github项目：https://github.com/zaproxy/zaproxy/wiki/Downloads

 

二、OWASP ZAP 安装

安装我就不多说了，它有Windows（64）安装程序、 Windows（32）安装程序、 Linux安装程序、 MacOS安装程序等。

 

Windows下载下来的是exe的，双击就可以了！

Linuxg下载下来的不是.sh就是tar.gz，这个就更加简单了。

 

唯一需要注意的是：

Windows和Linux版本需要运行Java 8或更高版本JDK，MacOS安装程序包括Java 8；

 

例如：今天一位网友在windows下载安装启动owasp-zap时，做出如下提示：

The install4j wizard could not find a Java(TM) Runtime Environment on your system. Please locate a suitable 64-bit JRE.(minimun version:1.8)

中文翻译

install4j向导无法在系统上找到Java（TM）运行时环境。 请找到合适的64位JRE。（最小版本：1.8）

 

这位网友问我：我下载了java8并安装了，但不知道为什么找不到java EXE？

我的回答是：java下载的不对，或没成功安装java；一定要下载、安装Java JDK。

果然安装JDK成功解决！

 

三、OWASP ZAP使用教程（详解）

由于Kali Linux里面也集成了OWASP ZAP工具，我就拿Kali Linux里面的OWASP ZAP来做示例吧！

 

1、更新

由于owasp zap 官方不定期的会更新zap插件和zap版本，我们可以通过手动更新的方式如下：

如果你想更新单个，你可以这样：后面如果出现【更新】的字样的话，可以选择后【update selected】更新即可！

 

Marketplace为插件市场，是选择性安装的插件。主要分为一下3类的插件：

release：为经过长期验证比较成熟的插件beta：为正在测试测试中的插件，可能会出现问题alpha：比beta更加低的测试版插件

 

建议release和beta版的都安装上，alpha版本的可选择性安装！

 

2、本地代理设置

给firefox 浏览器设置http代理（也可以是其他浏览器），owasp zap默认使用8080端口开启http代理；

如果你想修改owasp zap默认的代理，owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改：

3、简单攻击

然后我们再去火狐浏览器上随意访问任何网站，都可以截取到访问的网址，从而实现攻击。

攻击是需要有步骤的：

 

首先：手动爬行网站后，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory（and children）。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取（你也可以自定义字典）。

以上的目的是尽量的爬行出网站的所有