工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。类似的针对Web应用程序的扫描工具还有AWVS、APPSCAN等。
也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。
即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。
一、OWASP ZAP 下载地址
github项目:https://github.com/zaproxy/zaproxy/wiki/Downloads
OWASP_ZAP与Burp Suite类似。ZAP不仅可以拦截流量,还有很多其他的功能,比如爬虫、漏洞扫描器、模糊测试和暴力破解等。
ZAP还有一个脚本引擎,可以用来自动化的执行或者创建新的功能。 在这本节中,将使用OWASP_ZAP作为web代理,拦截请求,并在更改一些值后发送到服务器。
靶场环境
每个人靶场的IP都是不同的,需注意。