渗透测试工具ZAP入门教程（非常详细）从零基础入门到精通，看完这一篇就够了

2401_84281581

已于 2024-04-14 11:13:50 修改

阅读量1k

点赞数 19

分类专栏：程序员文章标签：测试工具

于 2024-04-14 11:13:48 首次发布

本文链接：https://blog.csdn.net/2401_84281581/article/details/137739932

版权

程序员专栏收录该内容

15 篇文章 1 订阅

订阅专栏

工具栏 – 包括可轻松访问最常用功能的按钮。
树窗口 – 显示站点树和脚本树。
工作区窗口 – 显示请求、响应和脚本，并允许您对其进行编辑。
信息窗口 – 显示自动和手动工具的详细信息。
页脚 – 显示找到的警报的摘要以及主要自动化工具的状态。

使用 ZAP 时，可以单击菜单栏上的“帮助”或按 F1 访问《ZAP 桌面用户指南》中的上下文相关帮助。它也可以在线获得。

有关 UI 的详细信息，请参阅 ZAP 联机文档中的 ZAP UI 概述。

重要说明：您应该只使用 ZAP 攻击您有权测试的应用程序，并进行主动攻击。由于这是一个模拟，其作用类似于真实攻击，因此可能会对站点的功能，数据等造成实际损害。如果您担心使用 ZAP，可以通过切换到安全模式来防止它造成伤害（尽管 ZAP 的功能会显着降低）。

若要将 ZAP 切换到安全模式，请单击主工具栏上模式下拉列表中的箭头以展开下拉列表并选择**“安全模式**”。

快速开始-自动扫描

开始使用 ZAP 的最简单方法是通过“快速入门”选项卡。快速入门是安装 ZAP 时自动包含的 ZAP 加载项。

要运行快速入门自动扫描：

启动 ZAP，然后单击工作区窗口的快速启动选项卡。
单击大的自动扫描按钮。
在“要攻击的 URL”文本框中，输入要攻击的 Web 应用程序的完整 URL。
点击攻击

勾选传统爬虫，点击攻击，ZAP会自动攻击填写的网站。

ZAP 将继续使用蜘蛛抓取 Web 应用程序，并被动扫描它找到的每个页面。然后，ZAP 将使用活动扫描程序攻击所有发现的页面、功能和参数。

2种爬虫

ZAP 提供 2 个爬虫用于爬网 Web 应用程序，您可以从此屏幕使用其中一个或两个。

传统的 ZAP 蜘蛛，通过检查来自 Web 应用程序的响应中的 HTML 来发现链接。这种蜘蛛速度很快，但在探索使用 JavaScript 生成链接的 AJAX Web 应用程序时并不总是有效的。

对于AJAX应用程序，ZAP的AJAX蜘蛛可能更有效。该蜘蛛通过调用浏览器来探索Web应用程序，然后跟踪已生成的链接。AJAX 蜘蛛比传统蜘蛛慢，需要额外的配置才能在“无头”环境中使用。

ZAP 将被动扫描通过它代理的所有请求和响应。到目前为止，ZAP 只对您的 Web 应用程序进行了被动扫描。被动扫描不会以任何方式改变响应，被认为是安全的。扫描也在后台线程中执行，以免减慢探索速度。被动扫描擅长发现一些漏洞，并作为一种了解 Web 应用程序的基本安全状态并找到可能需要进行更多调查的地方的方法。

但是，主动扫描会尝试通过使用针对所选目标的已知攻击来查找其他漏洞。主动扫描是对这些目标的真正攻击，可能会使目标面临风险，因此不要对您无权测试的目标使用主动扫描。

解释您的测试结果

当 ZAP 抓取您的 Web 应用程序时，它会构建 Web 应用程序页面以及用于呈现这些页面的资源的映射。然后，它会记录发送到每个页面的请求和响应，并在请求或响应出现潜在问题时创建警报。

查看浏览的页面

要检查浏览页面的树视图，请单击树窗口中的站点选项卡。您可以展开节点以查看访问的各个 URL。

查看警报和警报详细信息

页脚的左侧包含测试期间发现的警报计数，这些警报按风险类别细分。这些风险类别是：

警报

点击警报详情，可以看到详细信息

历史

在历史页面可以看到执行过扫描的历史记录。

spider

可以看到执行进度。

主动扫描

可以看到爬虫发出的请求。可以看到爬虫一共发出2141个请求。

生成报告

选中站点，点击生成报告，可以生成html格式的测试报告，报告包含扫描出的警报信息内容。

手动浏览应用程序

被动扫描和自动攻击功能是开始对 Web 应用程序进行漏洞评估的好方法，但它有一些限制。其中包括：

被动扫描期间无法发现受登录页保护的任何页面，因为除非已配置 ZAP 的身份验证功能，否则 ZAP 将不会处理所需的身份验证。
您无法很好地控制被动扫描中的探索顺序或自动攻击中执行的攻击类型。ZAP 确实提供了许多其他选项，用于被动扫描之外的探索和攻击。

蜘蛛是探索基本站点的好方法，但它们应该与手动探索相结合，以更有效。例如，蜘蛛只会在Web应用程序的表单中输入基本的默认数据，但用户可以输入更多相关信息，这些信息反过来又可以将更多的Web应用程序暴露给ZAP中。对于需要有效电子邮件地址的注册表等内容尤其如此。蜘蛛可能会输入一个随机字符串，这将导致错误。用户将能够对该错误做出反应并提供格式正确的字符串，这可能会导致在提交和接受表单时公开更多应用程序。

被动扫描是ZAP自动对网站进行扫描，手动浏览是用户在网站进行操作，ZAP先记录下用户操作，然后基于这些操作再进行攻击，发现漏洞。手动浏览时，操作应该遍历每一个页面。

手动浏览

要手动探索您的应用程序，请执行以下操作：

启动 ZAP，然后单击工作区窗口的快速启动选项卡。
单击大的手动探索按钮。
在“要浏览的 URL”文本框中，输入要浏览的 Web 应用程序的完整 URL。
选择您要使用的浏览器
单击启动浏览器

ZAP会启动浏览器，显示如图。

如果要将任何浏览器与现有配置文件一起使用，例如安装其他浏览器加载项，则需要手动将浏览器配置为通过 ZAP 代理，并导入并信任 ZAP 根 CA 证书。有关更多详细信息，请参阅 ZAP 桌面用户指南。

默认情况下，将启用 ZAP 平视显示器（HUD）。在启动浏览器之前取消选中此屏幕上的相关选项将禁用HUD。

题外话

=========

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

`黑客&网络安全如何学习

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数软件测试工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年软件测试全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。