🔎 OWASP ZAP快速上手之SETP BY STEP

1、OWASP ZAP ，开源/黑盒/安全扫描工具。与另一开源工具JMETER相反，ZAP极其复杂，功能多到目眩，让人怀疑ZAP的诞生过程中，有不止10个产品经理，5个研发团队参与其中，最终被OWASP老板整合，形成了今天的ZAP，我一直以为ZAP把挺简单的事搞复杂了；

2、尽管如此，初学者按照下面的步骤快速上手，扫描一个web项目，还是很轻松的，打开ZAP工具，此时会有一提示，选择第二项，起一个名字，保存；

3、在快速开始标签页，选择好浏览器类型后，点击“启动浏览器”，地址栏里输入被测系统地址，出现登录界面，输入用户名和密码，点击“登录”；

4、理论上，ZAP的“强制浏览目录”功能，可以遍历站点下所有页面，相比“强制浏览页面”功能执行效率更高（在右键菜单里）。建议“强制浏览目录”功能和“手动爬行”结合使用。手工点击被扫描网站的各个页面，需要输入内容时，并不强求一定是有效数据，以能够打开页面为准。如时间较紧，建议直接使用“手动爬行”。这样操作后，可以在ZAP主页面左侧的树状站点图内看到效果；

5、键盘操作Ctrl+Alt+p，打开“Session Properties”对话框，进入目录“Contexts-1:默认上下文-1:身份验证"，选择“From-based Authentication”、实际的登录地址、“username”、“password”，进入目录“Contexts-1:默认上下文-1:Users"，点击“Add”后，配置用户名和密码，点击添加，然后勾选“活动”选项，令刚刚添加的信息生效；

6、ZAP主页面左上角，选择“ATTACK Mode”；

7、在ZAP主页面左侧的树状站点图内，选择需要扫描站点/节点，右键-攻击-主动扫描；

8、在“主动扫描”弹窗“范围”标签页，起点栏内输入被扫描站点地址（其下子节点一定要包含登录地址，否则之前设置的登录信息无法生效），在“输入向量”标签页，勾选“URL Path(could slow down testing)”、“HTTP Headers(could slow down testing)”、“All Requests”，在“政策”标签页，默认警报阀值，选择“高等的”、默认攻击强度选择“Insane”（疯狂）、应用“高等的”Threshold To “所有”规则，点击“Go”、应用"Insane"Strengt To “所有”规则，点击“Go”，开始扫描；

9、打开“显示扫描详细信息”窗口，可以看到当前正在进行的攻击类型和收获；

10、扫描结束后，在“警报”标签页，可以看到本次扫描发现的安全漏洞类型和种类，点开叶节点，可以看到具体的攻击手法。