owasp zap 安全审计工具 安装／拦截请求

1、安装

网址：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

步骤：安装包正常安装即可

2、使用：

来自：http://www.lybbn.cn/data/datas.php?yw=169

（1）启动owasp zap，更新owasp zap的插件

在installed栏位，在更新列里有更新字样的即为官网更新的插件，可以选中进行更新

在marketpace栏位，有release（较稳定）／Beta（已上线供市场检测稳定性）／alpha（内测阶段）版的插件可下载，建议可以下载release（较稳定）／Beta（已上线供市场检测稳定性）插件，alpha可能会误判

（2）给google浏览器设置http代理（也可以是其他浏览器）,默认owasp zap使用8080端口开启http和https代理

owasp zap 的代理设置可在【工具】-【选项】-【本地代理】中修改

（3）owasp zap 代理https网站证书不信任问题

owasp zap 进行代理时，浏览器访问https的网站，owasp zap 使用自己的证书与浏览器建立ssl连接，由于owasp zap证书不受信任，因此需要把owasp zap的证书手动导出（cer格式的证书），导入到浏览器中即可

为啥要导入证书：https://github.com/fwon/blog/issues/38

处理方法：

A、导出owasp zap的证书的方法【设置】-【dynamic ssl certificates】

B、在浏览器里导入证书，以google浏览器为例子

浏览器设置-高级-证书管理，导入A中保存的证书，如下：

证书可能导入了之后还是显示不信任，需要修改成信任

（4）设置好代理后，使用浏览器访问需要审计的网站的每个页面和页面上的每一个功能，特别是一些表单的地方一定要提交一下，所有的功能都手动的尝试一遍，所有的url链接手动全点一遍，所有的结果的包都被owasp zap截取下来

这里以 testphp.vulnweb.com 网站为例，此网站为awvs扫描器专用测试网站（此网站仅供学习使用，请勿非法攻击）

点击页面上的每个链接和功能测试后，owasp zap 中会出现你每个访问的过程和结果

（5）手动爬网后，选择该站点进行owsap zap的自动爬网和forced browse site、forced browse directory、forced browse directory（and children）。owasp zap的强制目录浏览选择使用owasp zap自带的directory-list-1.0.txt 目录字典进行尝试爬取（你也可以自定义字典）

以上的目的是尽量的爬行出测试网站的所有链接页面

（5）以上工作做完以后，就可以选择该站点进行主动扫描（active scan）

（6）主动扫描后，针对扫描的结果【警告】菜单栏查看每一项看是否真的存在相应的问题，主要查看高危和中危漏洞，查看漏洞存在的url以及attack 的语句即 attack后服务器返回的结果。

最后为验证该漏洞的真实有效性，你可以选择该漏洞点进行相应安全工具再进一步的测试