Zed Attack Proxy簡寫為ZAP，是一個簡單易用的滲透測試工具，是發(fā)現(xiàn)Web應用中的漏洞的利器，更是滲透測試愛好者的好東西。

ZAP下載地址：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

ZAP中國：http://www.owasp.org.cn/

BackTrack5R3中集成了ZAP，下面我來演示了一下ZAP的簡單實用。

BT5 R3打開方式：

1. cd /pentest/web/owasp-zap ./zap.sh2.Applications|BackTrack|Vulnerability Assessment|Web Application Assessment|Web Vulnerability Scanners|owasp-zap

?Parrot Security OS 打開方式：

1./usr/bin/owasp-zap/

使用方法：

1.設置

ZAP像Burp suite一樣使用代理的方式來截取網站。

在Tools|Local proxy中設置相關選項。

默認已經設置好了，如果端口沖突就自己改。

在Firefox中設置代理。

Edit|Preferences|Advanced|Network|Setting

選擇Manual proxy configuration單選項。

瀏覽目標機器，這里使用Metasploitable2來示例。

用Firefox訪問后，在ZAP中出現(xiàn)了Sites。

2.Spider site

右鍵選擇Attack|Spider site

掃描要很久，因為是示例所以就先停了。

3.Brute Force

在Site選擇目標，在List中選擇字典。有big medium small等類型的字典。

4.Port Scanner

雖然掃描速度很快，但是不夠Nmap準確。

5.Active Scan

主動掃描是ZAP最強大的功能之一。

6.Alerts

掃描出來的漏洞就在這里了。

?

參考：http://www.freebuf.com/tools/5427.html

總結

以上是生活随笔為你收集整理的OWASP-ZAP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。