OWASP ZAP安全测试工具--安装、启动、更新

OWASP ZAP是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中，自动发现Web应用程序中的安全漏洞。另外，它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

（ZAP是由OWASP开发的免费且开源的安全测试工具）

1、下载OWASP ZAP

https://www.zaproxy.org/download/

ZAP 具有适用于 Windows，Linux 和 Mac OS / X 的安装程序。

 

Windows 下载下来的是 exe 的，双击就可以了！

Linuxg 下载下来的不是.sh 就是 tar.gz，这个就更加简单了。

需要注意的是：
Windows 和 Linux 版本需要运行 Java 8 或更高版本 JDK，MacOS 安装程序包括 Java 8，在下载安装 Java 时，一定要下载、安装 Java JDK

2、以在Windows安装为例---安装。

2-1、双击exe安装包文件，选择语言建议选“English” ，因为ZAP目前对中文支持不是很好，有些界面菜单中文会显示乱码。

 

 2-2、在欢迎界面中选择 “Next”。

 2-3、在出现协议确认部分要选择 “I accept the agreement” 同意协议，点击 “Next” 按钮。

 2-4、选择标准安装 “Standard Installation” 后，点击 “Next” 按钮。

 2-5、点击 “Install” 进入到安装部分。

 2-6、点击 “Finish” 来完成安装。

在桌面上打开刚刚安装 ZAP，说明你安装成功了

 3、启动zap

启动ZAP时，会弹出弹窗提示是否要保留会话。

注：前两项表示需要保存会话，勾选第三项则为不保存会话。在平时练习使用时选择不保存会话，正式渗透测试时需要勾选保存会话，选第一或者第二个选项都可以，打开保存的会话文件可打开之前的站点信息和扫描历史记录等。

1、是的，我想保留此会话，会话名称基于当前时间戳。

2、是，我想保持此会话，但我想指定名称和位置。

3、否，我不想在时间的这个时刻保持此会话

4、更新

由于owasp zap 官方不定期的会更新zap插件和zap版本，我们可以通过手动更新的方式如下：

 

 

如果你想更新单个，你可以这样：后面如果出现【更新】的字样的话，可以选择后【update selected】更新即可！

 

 

                       Marketplace为插件市场，是选择性安装的插件。主要分为一下3类的插件：

• • release：为经过长期验证比较成熟的插件
  • beta：为正在测试测试中的插件，可能会出现问题
  • alpha：比beta更加低的测试版插件

         建议release和beta版的都安装上，alpha版本的可选择

转自链接：https://www.wangan.com/docs/841
参考链接：https://blog.csdn.net/wxh0000mm/article/details/104450024