0xx1 设置
- 使用owasp-zap首先需要将zap生成证书,然后保存在本地
- 打开浏览器,将证书导入,并设置代理
0xx2 使用
- owasp-zap包含四种扫描模式
- safe mode 发现漏洞的数量最少,不会对目标的测试系统做任何破坏性操作(推荐)
- protected mode 发现的漏洞数量比safe模式多一点,可能测试系统造成破坏
- standard mode 发现的漏洞数量比protected模式多一点, 可能对测试系统造成破坏(默认)
- attack mode 发现的漏洞数量最多,可能对测试系统造成破坏性最大
- 设置扫描策略
- Policy #扫描策略名称,需要填写
- default alert threshold #告警阀值,有low、medium、high,阀值越高owasp zap扫描爆出的漏洞数就越少,阀值越高owasp zap就只爆出确认的漏洞高的
- default attack strength ##攻击强度,有low、medium、high、insane,强度越高,扫描速度越快
- apply xx threshold to all #把告警阀xx值给所有扫描插件,点击go 生效
- apply xx strength to all #把扫描强度xx应用给所有扫描时间,点击go 生效