全称:OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全工具之一。
作用
截断代理
被动,主动扫描
fuzzy,暴力破解
API:http://zap/(得设置代理)
设置
persist session:启动的时候决定是否保存
mode:safe——保护目标系统,安全性扫描,防止系统挂死
protected——只能对指定的application进行危险扫描
standard——最危险的不会做;attack——肆无忌惮
add-ons升级:有个三个小方块的图标
scan policy:对站点右键,攻击下的active scan,在policy处选择策略;add-ons升级左边按键可以用来设置策略
anti csrf tokens:设置里进行设置
http-CA:在设置里有证书
Scope / Contexts / filter:限制扫描范围,凡是有狙击准星的都包含在 scope 中,准星的作用类似于 “感兴趣” 标记
http session:一般建议使用 cookies,使用 manual 方式,使用浏览器手动输入账号密码,owasp_zap 默认临时性将 session 保存在本地,然后之后再扫描就自动化提取 session 完成扫描
原文链接:https://blog.csdn.net/weixin_44604541/article/details/104968386