OWASP ZAP是一款自动化的web漏洞扫描工具。能够帮助我们快速的检查站点漏洞。

安装

需要注意的是，在最新版kali中，默认是没有zap这款工具的，需要我们手动进行安装。

apt-get install zaproxy

安装完成。在菜单中搜索zap即可运行。

扫描模式

ZAP提供了两种扫描方式，Automated Scan（自动扫描）和 Manual Explore（手动扫描）

自动扫描

自动扫描是我们最常用的扫描方式，点击自动扫描后，输入网址后点击攻击即可。

自动扫描结束后可点击Alerts（警报） 查看漏洞信息。

手动扫描

进入自动扫描配置界面，输入要测试的网址，点击启动浏览器

设置代理

在工具栏选择Options按钮进入设置界面，选择Local Proxies，默认使用8080端口，也可自行设置端口号。然后在对应浏览器设置一样的代理信息就可以了。和在burp中配置代理的一样。

拦截请求

在工具栏，点击断点图标变成红色的状态，表示当前正在开启断点模式。

暴力破解

在Request区域右键选择“Fuzz”进入爆破设置界面，选中需要参数化的部分，点击“Add”进入设置爆破内容，ZAP提供了多种Type的选择，枚举输入爆破内容后依次添加，点击“Start Fuzzer”开始执行爆破。