使用OWASP ZAP进行简单的安全测试

OWASP是一个开源的、非盈利性的全球性安全组织，ZAP是世界上最受欢迎的免费安全审计工具之一，它可以帮助我们在开发和测试应用程序时自动查找web应用程序中的安全漏洞。
了解下安全测试
安全性测试主要可以由以下测试策略：
漏洞分析—对系统进行扫描来发现其安全性隐患
渗透测试—对系统进行模拟攻击和分析来确定其安全性漏洞
运行时测试—终端用户对系统进行分析和安全性测试（手工安全性测试分析）
代码审计—通过代码审计分析评估安全性风险（静态测试、评审）
ZAP主要是用于上述的第二种测试即渗透性测试。
它以代理形式来实现渗透性测试，类似于fiddler抓包机制。
ZAP是一个中间人代理，允许查看对web应用程序所发出的所有请求以从中收到的所有响应，对他们进行分析、扫描，甚至改包再发送。
ZAP下载
官网地址：https://www.zaproxy.org/


ZAP安装
安装过程与其它程序安装过程相同，直接安装即可。



ZAP使用
打开ZAP，可以设置端口号，根据自己的实际情况设置还没有被占用的端口号，也可以在ZAP窗口中的options中重新设置端口号：

1、进程保留
初次打开ZAP时，会看到以下对话框，询问是否要保持ZAP进程：

保存进程则可以让你的操作得到保留，下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果。一般如果对固定的产品做定期扫描，应该保存一个进程为长期使用，选第一个或第二个选项都可以，如果只是想先尝试下ZAP功能，可以选择第三个选项，那么当前进程暂时不会被保存。

2、设置代理
打开ZAP的选项工具：

在开始使用进行测试前，需要设置浏览器代理。
修改浏览器代理，以360安全浏览器为例：

完成设置后，我们在浏览器中访问站点，都会通过ZAP这个中间人了。
3、简单攻击测试
手动爬行某个网站，选择该站点进行owsap zap的强制浏览网站、强制浏览目录、forced browse directory(and children)。

以上的目的是尽量的爬行出网站的所有链接页面。
以上工作完成后，可以选择该站点进行active scan(主动扫描），默认即可。

最后查看扫描结果，主动扫描后，针对扫描的结果是“警告”菜单栏查看每一项是否真的存在问题，查看高危和中危漏洞，查看漏洞存在的url及attack的语句即attack后服务器返回的结果。

4、结果存储
在文件中选择persist session，该功能主要保存扫描分析的结果，方便分析。

保存为报告形式：