OWASP ZAP

OWASP ZAP

OWASP ZAP (Zed Attack Proxy) 是一款开源 Web 应用安全扫描器,提供漏洞扫描和渗透测试功能。

基础使用

启动 ZAP

./zap.sh  # Linux/macOS
zap.bat   # Windows

配置代理

  1. 启动 OWASP ZAP
  2. 配置浏览器代理 → 127.0.0.1:8080
  3. 开始拦截流量

自动扫描

攻击 → 自动扫描 → 输入目标 URL

手动探索

工具 → 手动探索 → 输入目标 URL

主要功能

功能 描述
代理 拦截代理
主动扫描 漏洞扫描
被动扫描 被动检测
模糊测试 输入测试
会话管理 Cookie 处理
API 支持 REST API

功能特性

  • 主动扫描 - 自动化漏洞检测
  • 被动扫描 - 流量分析检测
  • 拦截代理 - HTTP/HTTPS 流量拦截
  • 模糊测试 - 输入验证测试
  • API 支持 - 自动化集成
  • 插件系统 - 扩展市场

使用示例

# 命令行启动
./zap.sh -daemon -port 8080

# API 扫描
curl "http://localhost:8080/JSON/ascan/action/scan/?url=https://target.com"

# 获取扫描结果
curl "http://localhost:8080/JSON/core/view/alerts/"

参考资源