OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应。即可以用于安全专家、开发人员、功能测试人员,甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。主要拥有以下重要功能:
(1)本地代理;
(2)主动扫描;
(3)被动扫描;
(4)Fuzzy;
(5)暴力破解。
大家可以到github上下载最新版本,github的项目地址为:https://github.com/zaproxy/zaproxy/wiki/Downloads,当然也可以到我的网盘中下载:链接:https://pan.baidu.com/s/14nMuvOHfPb_rH9ilA7MojQ 密码:dfte 。
大家可以在网盘中选择自己下载的版本。本例使用的是:“jdk-8u191-windows-x64.exe”与“ZAP_2_7_0_windows-x64.exe”。
1.JDK的安装与配置
ZAP是使用JAVA语言开发,所以在安装ZAP时,需要安装JDK,同时需要配置JAVA的开发环境。接下来在Win7中介绍其方法。
打开“jdk-8u191-windows-x64.exe”文件,点击“下一步”进行安装。
出现许可证条款变更的说明后,点击“确定”即可。
接下来点击“下一步”继续安装。
此时点击“关闭”完装完成。
不过还需要配置JAVA的开发环境。配置方法非常简单,只要在系统的环境变量中加入JDK安装路径即可。在桌面上,点击计算机右键,打开“属性”。
在系统配置中选择“高级系统设置”。
在系统属性中选择“环境变量”项。
在环境变量中,点击“新建”按钮,来创建“JAVA_HOME”环境变量,内容为“C:\Program Files\Java\jdk1.8.0_191”(目录根据安装的路径所决定的)。
接下来找到系统变量中“Path”变量,在最后加入JDK安装路径中的“bin”目录“;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin;”。不要忘记,是在最后加入,加入之前要加“;”号进行分隔。
最后加入CLASSPATH 变量,在环境变量中点击“新建”,建立变量,变量内容为“.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar”。
点击确定之后,我们可以测试一下JAVA环境是否配置完成。我们可以使用快捷键CTRL+R或点击开始菜单,点击“运行”。在运行中输入“cmd”。
在命令行中,输入“java -version”如果出现如下界面,即为安装成功。
2.ZAP的安装
JAVA安装环境配置完成后,我们就需要安装ZAP了,我们打开“ZAP_2_7_0_windows-x64.exe”文件。
默认语言为英语,由于没有中文版本,所以大家需要学学单词。点击“确定”按钮即可。
在欢迎界面中选择“Next”。
在出现协议确认部分要选择“I accept the agreement”同意协议,点击“Next”按钮。
选择标准安装“Standard Installation”后,点击“Next”按钮。
点击“Install”进入到安装部分。
点击“Finish”来完成安装。
在桌面上打开刚刚安装ZAP,界面如下,说明你安装成功了。
