OWASP ZAP 工具简介

简介: OWASP ZAP 工具简介

大家好,我是阿萨。 现在Web 安全的重要性不言而喻。 作为测试人员呢,避免不了要进行安全测试。有些测试人员可能会有一些困扰,那就是我不懂安全测试怎么办?


别着急,今天阿萨给大家共享一份Web 安全测试规范,专门给Web 安全小白准备的。 关注公众号,回复 【Web】获取 这份Web 安全测试规范。



看到这里,很多人就问了,这个和今天的主题有啥关系。 上面Web 安全规范内容中第一条测试用例里就用到了AppScan。但是大家都知道 AppScan 不是免费的。今天给大家隆重介绍下 OWASP 公认的 Web 安全扫描工具Zap。


OWASP Zed Attack Proxy 攻击代理服务器


世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞


下载地址:


https://www.zaproxy.org

以上地址下载最新版本后,直接安装。


用法:


1. 自动扫描网站


安装好zap 后,打开。



当您第一次启动ZAP时,系统会询问您是否希望持久化ZAP会话。

如果您不持久化会话,那么当您退出ZAP时,这些文件将被删除。

如果选择持久化会话,则会话信息将保存在本地数据库中这样您以后就可以访问它,并且您将能够为其提供自定义名称和位置保存文件。

现在,选择 No, I do not want to persist this session at this moment in time,然后选择 Start.


您将会看到如下界面。



点击 Automated Scan



在 URL to attack:输入需要测试的网址。 点击Attack。

自动扫描结束 在 Report 里导出想要的报告类型即可。是不是很简单?



2. 手动扫描网站



点击 Manual Explore



在“URL to explore ”文本框中,输入要浏览的web应用程序的完整URL

选择您想要使用的浏览器。

单击Launch Browser按钮。


探索完网站后,ZAP 会自动测试所有你扫描到的URL。测试结束后,保存结果即可。


是不是很简单?

有了入门工具和Web安全测试用例里 简单方便可执行用例。Web 安全测试入门无忧。大家可以看看用例里每一条详细的执行步骤都有列出,只要按照步骤执行即可。赶快下载下来去测试吧。Windows 适用哦。





相关文章
|
5月前
|
人工智能 安全 API
2026年OpenClaw/Clawdbot官方50+skills安装攻略:一键部署+安全使用指南,避开恶意技能陷阱
ClawHub平台上5700+技能鱼龙混杂,2026年2月爆发的ClawHavoc事件更是暴露了12%的恶意技能风险,让用户在选择时无所适从。而OpenClaw官方内置的53个技能,经过严格安全校验,是最可靠的选择。本文先提供**阿里云OpenClaw极速部署简单步骤**,再深度拆解这53个官方技能的功能细节、风险等级、安装建议,搭配可直接复制的代码命令,全程规避其他云厂商名称,帮助用户安全高效地解锁OpenClaw核心能力。
3202 3
|
8月前
|
人工智能 安全 测试技术
Strix:用AI做渗透测试,把安全漏洞扼杀在开发阶段
Strix是开源AI安全测试工具,模拟黑客攻击并验证真实漏洞,支持代码与环境协同扫描,误报率低,可集成CI/CD,将数周渗透测试压缩至几小时,助力开发与安全团队高效发现风险。
Strix:用AI做渗透测试,把安全漏洞扼杀在开发阶段
|
SQL 安全 测试技术
漏洞扫描技术:对Web应用程序进行漏洞扫描
漏洞扫描技术:对Web应用程序进行漏洞扫描
947 1
|
存储 监控 安全
|
Prometheus Kubernetes 安全
5 款漏洞扫描工具:实用、强力、全面(含开源)(一)
5 款漏洞扫描工具:实用、强力、全面(含开源)
4908 1
5 款漏洞扫描工具:实用、强力、全面(含开源)(一)
|
安全 Ubuntu Unix
一文带你了解OpenVAS扫描器使用
一文带你了解OpenVAS扫描器使用
|
SQL 安全 关系型数据库
SQL自动化注ru-SQLmap入门操作(一)
SQL自动化注ru-SQLmap入门操作(一)
|
数据采集 安全
Burpsuite Scanner扫描功能实现自动化shentou
Burpsuite Scanner扫描功能实现自动化shentou
|
安全 测试技术 Linux
常见安全测试工具
常见安全测试工具
688 1