漏洞扫描工具OWASP ZAP的下载、安装、使用教程

最新需要用到owasp工具进行漏洞扫描，发现安装的kali虚拟机没有自动安装owasp，由于内网环境，也无法联网下载，网上找的操作步骤也良莠不齐，无法操作，索性自己总结一下。

owasp介绍

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目，也是旗舰项目，全称是OWASP Zed attack proxy，是一款web application 集成渗透测试和漏洞工具，同样是免费开源跨平台的。
ZAP是一个中间人代理，浏览器与服务器的任何交互都将经过ZAP，ZAP则可以通过对其抓包进行分析、扫描。

一、owasp下载

安装包下载地址：https://www.zaproxy.org/download/

github地址：https://github.com/zaproxy/zaproxy/wiki/Downloads

可以下载win、linux版本

二、owasp安装

1、 windows安装

windowns的安装包下载下来后，是exe的可执行程序，点击安装即可。

安装完成桌面图标如下：

报错解决

1、报错问题：提示缺少java runtime Environment 11.0，但是查看jdk版本发现，已经安装的就是jdk11 

2、解决：在安装目录中双击运行  zap.bat

 3、等运行完毕，直接打开

2、 linux安装

linux 包下载下来后是ZAP_2.12.0_unix.sh，

直接拖入或者拷贝到linux服务器指定目录下如/usr目录下，无需解压，在Linux系统下运行.sh文件有需要给它权限，使用命令

chmod u+x ZAP_2.12.0_unix.sh

进入/usr 目录下，可以看到有zap.sh脚本；

执行脚本即可启动。命令如下，自动开始运行，弹出安装框，安装过程和win一样。

./ZAP_2_12_0_unix.sh

 安装完成，在04-web程序中最后会显示ZAP。

如果linux下没有安装桌面模式，可以执行sh zap.sh -cmd,采用cmd模式启动zap。

默认启动8080端口。

sh zap.sh -cmd -h 查看帮助文档。

三、owasp使用

首页面展示

 1、自动扫描

输入要攻击的完整URL，可以选择勾选spider，ZAP提供spider进行Web的页面扫描，发现所有的页面。对于AJAX应用程序，可使用AJAX spider。点击“攻击”开始扫描。

 2、点击攻击后，ZAP便开始爬取Web应用程序，展示扫描的进度与每个页面的请求和响应：

 3、有进度条可以显示扫描进度，扫描完成后，可在“警报”TAB中查看潜在安全漏洞与详情：