首先去github下載owasp zap: https://github.com/zaproxy/zaproxy/wiki/Downloads ,用迅雷會員下載比較快;
基礎使用方法去freebuf看:http://www.freebuf.com/sectool/5427.html
首先要安裝https證書、搞了好久找到了下載證書的地方 options->Dynamic SSL Certficates去保存證書,然後導入瀏覽器
safe mode #安全模式
protected mode #保護模式
standard mode #標準模式
ATTACK mode #***模式
在owasp中需要添加斷點攔截、同樣也有攔截白名單和黑名單的設置,使用如下:
還有他的***模式做的比較好,輸入網址***後會自動發送到spider模塊,爬完後自動發送到主動掃描模塊,也有掃描進度,可視化效果做的比burpsiuite好,後面嘗試下主動掃描模塊強大不、
掃描完後自動轉到警告模塊可以查看掃描報告,也支持導出html、xml方式報告;
FUZZ模塊配置使用貌似木有burpsuite強大、其他的還都是蠻好的,也有編碼解碼功能等等。
目測owasp-zap的主動掃描模塊值得一用,還有下斷點會把request和response都下斷點返回,默認burpsuite的配置是不攔截response、而owasp-zap默認兩個都攔截、
後續的使用,後面再來補充。