owasp zap 安全审计工具 功能详解

一、persist session

　　该功能主要保存扫描分析的结果,方便下次继续分析

　　

二、扫描策略

1、修改策略

　　A、入口

　　

　　B、具体设置页面

　　

　　C、设置完成后，发起主动扫描，在弹出的窗口可以选择策略

　　

　　D、扫描进度查询：下入中下方的小黑屏可以看到当前扫描任务的扫描详情，如果想要忽略某中扫描，可以点击其行对应的status列

　　

三、扫描模式

　　1、ZAP 有四种扫描模式 Safe, Protected, Standard, Attack（攻击似的扫描）。 扫描所得的漏洞数量以次递增。

　　　　Safe mode ：发现漏洞的数量最少，不会对目标的测试系统做任何破坏性操作（推荐）

　　　　protected mode：发现的漏洞数量比safe模式多一点，可能测试系统造成破坏

　　　　standard mode：发现的漏洞数量比protected模式多一点， 可能对测试系统造成破坏（默认）

　　　　attack mode：发现的漏洞数量最多，可能对测试系统造成破坏性最大

注意：选择模式对系统进行扫描的时候注意选择safe模式，以免对系统造成攻击，带来不必要的麻烦

　　

四、升级add-ons

五、Anti CSRF tokens

　　某些应用程序为了防止 CSR 攻击，在每次访问时都会随机生成一个新的 Token。这些由伪随机算法生成的随机数也许大部分的扫描器都不支持，防止对应用程序进行重发攻击

　　 ZAP 的 Anti CSRF Tokens 功能是添加对应用程序的特定的 Tokens(如果该网站有 Token 的话)规避这种保护；

　　

六、https CA

　　该证书防止使用代理访问应用程序拨错

　　1、首先生成并保存 ZAP 的http 证书　　

　　2、将 ZAP 的http 证书导入浏览器

七、context／scope／filter

八、http session

用于管理站点的登陆态问题，默认使用mamual方式

九、note／tag

用于表示相关的请求

十、编解码

对请求／返回的数据进行编解码

十一、截断

截断请求，修改请求信息，重新发送