渗透测试工具ZAP入门教程（3）-扫描流程

使用ZAP扫描网站流程如下：

1）、输入URL，点击启动浏览器，在打开的浏览器登录要扫描的网站，操作页面各种功能，尽可能遍历所有功能及页面

2）、点击Spider Start按钮，爬取静态地址，防止有遗漏

使用 ZAP 的 Spider 功能进行扫描时，默认情况下会扫描当前页并自动探测整个网站，并构建一个全面的页面列表。然后，ZAP 将使用这个页面列表来进行更全面的安全扫描。因此，ZAP 的 Spider 扫描将涵盖整个网站的所有页，而不仅仅是当前页。这样可以帮助你发现整个网站中的潜在漏洞。

也可以直接在ZAP界面，选择spider，新建扫描

3）点击Ajax Spider Start按钮，爬取ajax地址，防止有遗漏

4）、点击Active Scan Start，开始使用默认配置对前三步记录的地址进行扫描，如果有扫描到其他网站，也可以在ZAP界面，在需要攻击的网站上右键->攻击->主动扫描。

或者选中主动扫描，新建扫描

5）查看警报，导出测试报告。

 报告->生成报告，在下方选择站点，点击生成报告。