Zed Attack Proxy簡寫為ZAP，是一個(gè)簡單易用的滲透測試工具，是發(fā)現(xiàn)Web應(yīng)用中的漏洞的利器，更是滲透測試愛好者的好東西。

ZAP下載地址：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

ZAP中國：http://www.owasp.org.cn/

BackTrack5R3中集成了ZAP，下面我來演示了一下ZAP的簡單實(shí)用。

BT5 R3打開方式：

1. cd /pentest/web/owasp-zap ./zap.sh2.Applications|BackTrack|Vulnerability Assessment|Web Application Assessment|Web Vulnerability Scanners|owasp-zap

?Parrot Security OS 打開方式：

1./usr/bin/owasp-zap/

使用方法：

1.設(shè)置

ZAP像Burp suite一樣使用代理的方式來截取網(wǎng)站。

在Tools|Local proxy中設(shè)置相關(guān)選項(xiàng)。

默認(rèn)已經(jīng)設(shè)置好了，如果端口沖突就自己改。

在Firefox中設(shè)置代理。

Edit|Preferences|Advanced|Network|Setting

選擇Manual proxy configuration單選項(xiàng)。

瀏覽目標(biāo)機(jī)器，這里使用Metasploitable2來示例。

用Firefox訪問后，在ZAP中出現(xiàn)了Sites。

2.Spider site

右鍵選擇Attack|Spider site

掃描要很久，因?yàn)槭鞘纠跃拖韧Ａ恕?/p>

3.Brute Force

在Site選擇目標(biāo)，在List中選擇字典。有big medium small等類型的字典。

4.Port Scanner

雖然掃描速度很快，但是不夠Nmap準(zhǔn)確。

5.Active Scan

主動(dòng)掃描是ZAP最強(qiáng)大的功能之一。

6.Alerts

掃描出來的漏洞就在這里了。

?

參考：http://www.freebuf.com/tools/5427.html

總結(jié)

以上是生活随笔為你收集整理的OWASP-ZAP的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。