OWASP ZAP安全扫描工具使用较为方便,主要可以用于渗透性测试,类似用抓包工具,在浏览器和服务器之间,可以对信息进行分析和扫描。
安装环境:运行Java 8或更高版本JDK
这里介绍下最基础的扫描流程
使用方法:
1.打开后,页面如下,可以选择自动扫描或手动扫描
2. 开始测试之前,需要修改浏览器代理,将浏览器代理地址设置为与zap一致
3.选择好地址后,右键选中,选择攻击,看i先进性强制浏览网站/目录和文件
4. 选择强制浏览,会在输出框可以选择列表,选择默认的directory-list-1.0.txt,点击开始,会自动浏览所有文件,左侧站点可以选择浏览过的地址
强制浏览结束后,会显示所有文件目录
5.强制浏览后,点击主动扫描,可以选择策略,见下图,策略可以自定义
6.点击开始扫描后,扫描结束可以看到问题,能够显示问题的等级
7.选择报告可以自动生成不同种类的报告
报告如下