标签：

OWASP ZAP下载、安置、使用（详解）教程

OWASP Zed打击代办代理（ZAP）是世界上最受欢迎的免费安适审计工具之一，由数百名国际志愿者*积极维护。它可以辅佐您在开发和测试应用措施时自动查找Web应用措施中的安适缝隙。

也可以说：ZAP是一其中间人代办代理。它允许您检察您对Web应用措施发出的所有请求以及您从中收到的所有响应。

即可以用于安适专家、开发人员、成果测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安适测试的绝佳工具。

主要拥有以下重要成果：

本地代办代理

主动扫描

被动扫描

Fuzzy

暴力破解

一、OWASP ZAP 下载地点

github项目：https://github.com/zaproxy/zaproxy/wiki/Downloads

二、OWASP ZAP 安置

安置我就不久不多说了，它有Windows（64）安置措施、 Windows（32）安置措施、 Linux安置措施、 MacOS安置措施等。

Windows下载下来的是exe的，，双击就可以了！

Linuxg下载下来的不是.sh就是tar.gz，这个就越发简单了。

独一需要注意的是：

Windows和Linux版本需要运行Java 8或更高版本JDK，MacOS安置措施包孕Java 8；

例如：今天一位网友在windows下载安置启动owasp-zap时，做出如下提示：

The install4j wizard could not find a Java(TM) Runtime Environment on your system. Please locate a suitable 64-bit JRE.(minimun version:1.8)

中文翻译

install4j向导无法在系统上找到Java（TM）运行时环境。 请找到合适的64位JRE。（最小版本：1.8）

这位网友问我：我下载了java8并安置了，但不知道为什么找不到java EXE？

我的回答是：java下载的不同错误，或没告成安置java；必然要下载、安置Java JDK。

公然安置JDK告成解决！

三、OWASP ZAP使用教程（详解）

由于Kali Linux里面也集成了OWASP ZAP工具，我就拿Kali Linux里面的OWASP ZAP来做示例吧！

1、更新

由于owasp zap 官方不按期的会更新zap插件和zap版本，我们可以通过手动更新的方法如下：

如果你想更新单个，你可以这样：后面如果呈现【更新】的字样的话，可以选择后【update selected】更新即可！

Marketplace为插件市场，是选择性安置的插件。主要分为一下3类的插件：

release：为颠末恒久验证对照成熟的插件

beta：为正在测试测试中的插件，可能会呈现问题

alpha：比beta越发低的测试版插件

建议release和beta版的都安置上，alpha版本的可选择性安置！

2、本地代办代理设置

给firefox 浏览器设置http代办代理（也可以是其他浏览器），owasp zap默认使用8080端口开启http代办代理；

如果你想改削owasp zap默认的代办代理，owasp zap的代办代理设置可在【工具】-【选项】-【本地代办代理】中改削：

3、简单打击

然后我们再去火狐浏览器上随意访谒任何网站，都可以截取到访谒的网址，从而实现打击。

打击是需要有法式的：

首先：手动爬行网站后，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory（and children）。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行测验考试爬取（你也可以自界说字典）。

以上的目的是尽量的爬行出网站的所有链接页面！

其次：以上事情做完以后，就可以选择该站点进行active scan（主动扫描）