工具地址

注意：

Windows和Linux版本需要运行Java 8或更高版本JDK，MacOS安装程序包括Java 8；

OWASP ZAP使用教程

给firefox 浏览器设置http代理（也可以是其他浏览器），owasp zap默认使用8080端口开启http代理；

如果你想修改owasp zap默认的代理，owasp zap的代理设置可在【工具】-【选项】-【本地代理】中修改：

然后我们再去火狐浏览器上随意访问任何网站，都可以截取到访问的网址，从而实现攻击。

攻击是需要有步骤的：

首先：手动爬行网站后，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory（and children）。

owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取（你也可以自定义字典）。

以上的目的是尽量的爬行出网站的所有链接页面！

其次：以上工作做完以后，就可以选择该站点进行active scan（主动扫描）

主动扫描上面有一些相关设置，例如：信息收集、客户商和器、服务器安全、注入等。如果你有一定基础可以去设置，不是很了解的朋友们只需要用默认的即可！

最后：主要就是查看扫描结果，主动扫描后，针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题，主要查看高危和中危漏洞，查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

如果你想验证该漏洞的真实有效性，你可以选择该漏洞点进行相应安全工具再进一步的测试！

【文件】-【persist session】，该功能主要保存“扫描分析的结果”,方便下次继续分析！

主要有4中扫描模式：安全模式、保护模式、标准模式、攻击模式；

owasp zap默认用的是标准模式，你可以在【编辑】- 【ZAP Mode】中选择你想要的模式。

有两个地方可以添加扫描策略（1）【分析】-【扫描策略】，（2）设置按钮

扫描策略你可以自己随意设置的！如果不懂就用默认的吧！

Policy：扫描策略名称，需要填写
Default Alert Threshold：告警阀值，有low、medium、high，阀值越高owasp zap扫描爆出的漏洞数就越少，阀值越高owasp zap就只爆出确认的漏洞高的。
Default Attack Strength：攻击强度，有low、medium、high、insane，强度越高，扫描速度越快
Apply xx Threshold to All：把告警阀xx值给所有扫描插件，点击go 生效
Apply xx Strength to All：把扫描强度xx应用给所有扫描插件，点击go 生效