OWASP_ZAP(上)

关于流量代理劫持的软件通常用到的有brupsuite(用法网上很多，不赘叙)和下面要说的owasp_zap

本人觉得zap更易被小白接受，因为用法和brupsuite比更傻瓜式一些，下面分为几点进行阐述

代理设置：

我设置的8082端口(防止和burpsuite默认8080冲突) 浏览器对应的代理也设置为8082，过程略

 

证书设置：

CA的设置也是进入选项选择：

保存之后，同样在浏览器进行设置(略)

 

更新设置：

进入zap默认先看插件是否需要更新

最上面红圈为插件图标，第二个红圈为目前zap版本，这里我已更新到最新，需要更新时会出现提示需要在github上的zap官网下载第三个红圈为每个插件的更新提示符，需要更新时也会有高亮提示，这里我也已经全部更新

在市场界面下，安装优先级 Relese>Beta>Alpha

 

主动扫描：

前提是要做身份认证配置

通过访问域名的方式

 

Fuzzer攻击

页面发现：

法2：

通常用到的路径：

也可以自己写payload测试

补充：

这也是一种payload方式

 

扫描模式：

safe......免责