前言本文目前主要讲最基础的安装与配置使用方法稍微晚点进行补充想持续了解更多相关工具可关注网安工具环境配置笔记_其实防守也摸鱼的博客-CSDN博客介绍一、基础介绍1. 定位与背景ZAP 是免费开源 DAST动态应用安全测试工具原名 OWASP ZAP2023 年脱离 OWASP现由 Checkmarx 维护仍完全开源免费。核心身份中间人代理MITM Proxy介于浏览器与 Web 服务之间拦截、篡改、分析 HTTP/HTTPS 流量适用人群开发自测、渗透测试工程师、红蓝队、DevSecOps 自动化扫描系统支持Windows/macOS/Linux、Docker、命令行、REST API 集成 CI/CD2. 核心用途检测 Web/API 常见漏洞覆盖OWASP Top10SQL 注入、XSS 跨站、文件上传、越权、CSRF、敏感信息泄露、弱口令、不安全 HTTP 头、路径遍历等。二、两大核心扫描模式必区分1. 被动扫描Passive Scan安全无侵入原理仅分析已有的流量不主动发包、不发送攻击载荷触发浏览器走 ZAP 代理访问站点时自动后台运行能检测缺失安全响应头、URL 明文参数泄露、错误页堆栈信息、Cookie 无 HttpOnly/Secure优点零服务器压力可直接用于生产环境流量监控2. 主动扫描Active Scan攻击性漏扫原理对页面参数、表单、URL 拼接恶意 Payload发送大量测试请求验证漏洞能检测SQL 注入、反射 / 存储 XSS、命令注入、文件包含、目录穿越、逻辑漏洞风险会产生脏数据、占用服务器资源、可能触发 WAF 告警仅允许在授权测试环境使用三、核心功能模块1. 代理拦截手动渗透核心默认监听127.0.0.1:8080浏览器配置此代理即可抓包断点拦截中途修改请求参数、Cookie、请求方法再放行重放Resend复制请求反复测试 PayloadZAP HUD浏览器内嵌侧边栏无需切软件查看漏洞告警2. 爬虫 Spider站点测绘传统 Spider抓取静态 a 标签、表单适合传统多页面网站AJAX Spider执行 JS 渲染适配 Vue/React 单页应用 SPA抓取动态接口 作用自动遍历全站链接完善站点树为主动扫描提供全部测试入口3. 自动化一键扫描新手快速上手快速开始 → Automated Scan填入目标 URL一键执行爬虫 主动扫描全流程4. Context 上下文专业测试必备定义测试边界解决登录态、权限问题划定目标域名排除第三方 CDN / 广告域名避免误扫配置认证表单登录、Token、Basic Auth、会话管理限定扫描范围减少误报、提升扫描效率5. 模糊测试 Fuzzer对参数批量注入自定义 Payload用于暴力破解、参数畸形测试弱口令爆破登录框批量测试 ID 越权、文件路径参数6. API 专项扫描支持导入 OpenAPI/Swagger/GraphQL 文档直接扫描接口无需手动爬取7. 插件市场扩展能力内置插件商店按需安装数据库注入增强、JSON 漏洞检测、Websocket 扫描、报告导出、认证辅助脚本8. 报告导出支持 HTML/XML/Markdown/JSON包含漏洞等级、漏洞 URL、复现请求、修复建议 漏洞分级高 (High) 中 (Medium) 低 (Low) 信息 (Info)四、最简上手流程DVWA 靶场示例安装启动 ZAP保存会话Yes persist session浏览器代理设为localhost:8080安装 ZAP 根证书否则 HTTPS 抓包失败手动浏览靶站、登录、操作所有页面触发被动扫描站点树生成全部页面右键目标站点 → Attack → Active Scan主动扫描底部「警报 Alerts」查看所有漏洞点击查看详情与修复方案五、自动化集成DevSecOps1. Docker 命令行扫描# 稳定版镜像 docker pull owasp/zap2docker-stable # 无头模式一键扫描输出HTML报告 docker run -t owasp/zap2docker-stable zap-baseline.py -t http://靶站地址 -r report.html2. REST API提供完整 HTTP 接口Python/Java 脚本调用嵌入 Jenkins/GitHub Actions 流水线代码提交自动漏扫。六、优缺点优势完全免费开源无功能阉割对比商业 AWVS/AppScan 零成本兼顾新手一键扫描与专业手动渗透代理抓包能力强大跨平台、轻量化、Docker 易部署适配 CI 自动化社区更新快漏洞规则实时跟进新型攻击局限主动扫描速度慢大型站点耗时久复杂验证码、双因素认证、前端加密接口自动扫描难以覆盖需手动配合误报率高于商用扫描器需人工复核告警七、重要合规提醒仅可扫描自己拥有、书面授权的测试站点未经授权扫描公网网站属于网络违法承担法律责任。八、常用对比工具定位收费场景ZAP开源 DAST 代理渗透免费开发自测、红队、自动化流水线AWVS/AppScan商用专业漏扫付费企业批量合规扫描Burp Suite手动渗透代理社区免费 / 专业付费深度手工攻防、漏洞挖掘详细安装步骤到网站下载链接不让放下载适配自己的安装包下载好安装包运行启动弹窗这里没有中文选项进入软件主界面后才能切换简体中文这里直接选ok就行nextStandard installation标准安装已默认选中会使用程序预设的默认配置自动设置安装路径、勾选全部组件、创建默认快捷方式适合新手、不想自定义参数的普通使用者操作最简单。Custom installation自定义安装可以自主修改软件安装目录、挑选需要安装的组件、调整快捷方式相关设置适合有特殊路径需求、想精简安装内容的用户。操作建议新手推荐保持Standard installation选中状态直接点击Next 继续下一步安装即可。如果你想把软件装到非系统 C 盘、删减不需要的组件可以切换选择Custom installation再点Next 进行个性化配置。标题Select Start Menu Folder —— 选择开始菜单文件夹 说明文字安装程序将程序快捷方式放置在哪里选项 1☑ Create a Start Menu folder勾选后会在 Windows 开始菜单新建分组文件夹输入框默认名称ZAP\Zed Attack Proxy用于存放 ZAP 启动快捷方式无需修改默认名称。选项 2☑ Create shortcuts for all users勾选后电脑所有登录账户都能在开始菜单找到 ZAP 快捷方式若取消则仅当前安装账户可见。操作建议普通用户保持全部勾选、文件夹名称默认即可无需改动若想简化开始菜单目录可把输入框内容改为ZAP确认配置无误后直接点击右下角Next 进入下一步安装。补充提示该设置仅影响开始菜单快捷方式不改变软件本体安装路径后续若需要修改快捷方式分组可在 Windows 开始菜单手动重命名文件夹。标题Select Additional Tasks —— 选择附加任务 说明安装 ZAP 时需要执行哪些附加操作选择完成后点击 Next 继续两个选项说明Create a desktop icon创建桌面图标✅已勾选 安装完成后在桌面生成 ZAP 快捷启动图标方便快速打开推荐保留勾选。Create a Quick Launch icon创建快速启动栏图标☐未勾选 快速启动栏是 Windows 旧版侧边快捷栏Win10/Win11 系统基本不再使用无需勾选。操作建议保持当前勾选状态不变直接点击右下角Next 进入下一步安装流程。标题翻译Check for Updates —— 更新检查设置 功能配置 Zed Attack Proxy 的各类更新策略各选项逐条说明1. 全局启动更新✅Check for updates on startup.软件打开时自动检测新版本、插件更新推荐保留勾选。2. ZAP 主程序版本ZAP Releases☐Automatically download new ZAP releases.自动下载软件完整新版本安装包。 ⚠️ 建议不勾选大版本更新容易出现兼容性问题手动更新更稳妥。3. 插件更新Add-on updates全部已勾选推荐默认保留✅ Check for updates to the add-ons you have installed. 检测已安装插件的更新✅ Automatically install updates to the add-ons you have installed. 自动升级插件✅ Automatically install updates to the scan rules you have installed. 自动更新漏洞扫描规则库核心必须勾选保证漏洞检测能力4. 新插件通知New Add-ons两项均已勾选✅ Report new Release status add-ons. 推送正式稳定版新插件通知✅ Report new Beta status add-ons. 推送测试版新插件通知 如果你只想使用稳定功能可以取消此项 Beta 通知勾选。推荐配置方案新手通用直接用当前默认维持现有全部勾选不改动点击Next 继续安装。保守稳定方案避免测试版 / 自动升级主程序保持「Check for updates on startup」勾选保持三项插件自动更新勾选取消勾选「Automatically download new ZAP releases.」取消勾选「Report new Beta status add-ons.」操作确认设置后点击右下角Next 进入安装收尾步骤。后面没问题直接安装就好了OWASP ZAP 安装完成后完整操作流程一、首次打开软件双击桌面Zed Attack Proxy图标启动程序弹出Language Selection窗口下拉只有 English直接点OK弹出存储会话窗口选择Do not persist the session不保存会话临时使用或选择Persist the session保存扫描记录长期测试推荐 点击Start进入主界面分场景推荐操作场景 1新手临时练手、单次测试推荐选择第三个选项不我不想在此时持久化这个会话可勾选「记住我的选择并不再询问」再点击右下角开始。 优势不占用磁盘空间操作最简单。场景 2长期渗透、分项目扫描、需要留存漏洞报告选择第二个选项是的我想持久化这个会话但我指定名称和位置自定义文件夹命名如 DVWA 测试、WebGoat 项目方便后续复盘扫描记录。场景 3简单保存、不想手动选路径选择第一个时间戳自动命名选项直接保存到默认目录。快速上手最简操作直接选第三个「不持久化会话」→ 勾选记住选择 → 点击开始即可进入 ZAP 主界面开始抓包扫描。二、切换中文完整步骤但是我下载的时候直接打开就是中文的进入 ZAP 主界面后点击顶部菜单栏Tools工具→Options选项在左侧列表找到Language语言选项右侧下拉框选择中文中国点击窗口底部OK保存设置完全关闭 ZAP 再重新打开界面就全部变成简体中文。补充说明首次启动的语言选择弹窗只提供英文多语言包是内置在程序内部设置里不在启动弹窗切换语言后必须重启软件才能生效除简体中文外还自带「中文台湾」繁体选项。ZAP 完整上手操作当前中文欢迎界面分步教程界面三个核心入口自动扫描、手动浏览、了解更多下面分两种主流用法讲解一、新手一键漏扫自动扫描最简单适合直接对靶站全自动爬虫 漏洞检测点击中间「自动扫描」图标在弹出的目标输入框填写你的靶场地址如http://127.0.0.1/DVWA关键设置攻击强度新手选「低 / 中等」速度快高强度 payload 多、扫描慢扫描策略默认「标准」即可覆盖 OWASP Top10 漏洞点击「攻击」程序自动完成两件事 ① 爬虫爬取网站所有页面、接口 ② 主动扫描发送恶意载荷检测注入、XSS、文件上传等漏洞扫描完成后左下角「警报」标签查看全部漏洞区分高 / 中 / 低风险附带漏洞复现步骤和修复方案二、手工渗透手动浏览最常用适合学习抓包改包这个就和bp的一样的步骤 1配置浏览器代理核心前提ZAP 底部状态栏显示主代理localhost:8080打开 Chrome/Edge 设置 → 系统和性能 → 打开计算机代理设置开启「手动设置代理」地址127.0.0.1端口8080保存此时浏览器所有网络流量都会经过 ZAP 抓取步骤 2安装 ZAP 根证书解决 HTTPS 网页不安全报错顶部菜单栏 → 工具 → 选项 →网络 →证书点击「保存」导出zap-root.crt到桌面双击证书文件 → 安装证书 → 存储位置选「本地计算机」证书存储选择受信任的根证书颁发机构完成安装重启浏览器HTTPS 网站不再提示风险桌面保存的证书删掉就好了只是安装介质但是系统根证书库内的 ZAP 证书不要随便删步骤 3手动浏览抓包点击界面「手动浏览」图标会自动弹出内置浏览器也可以用自己配置好代理的 Chrome访问靶场、登录账号、点击所有页面功能左侧「站点」面板会自动收录全部访问过的 URL同时后台被动扫描自动检测基础漏洞无攻击行为不会影响服务器对任意请求右键可执行高级操作重放修改参数、Cookie 重复发包测试 SQL 注入、越权主动扫描单独对这一个接口深度漏洞检测模糊测试批量爆破账号密码、路径参数三、扫描完成后导出报告顶部菜单栏「报告」→「生成 HTML 报告」可读性最好选择保存路径导出文件包含漏洞清单、风险等级、漏洞 URL、原始请求包、修复建议OWASP ZAP vs Burp Suite 完整对比一、核心定位与授权OWASP ZAP授权完全开源免费无功能阉割支持商用 / 个人学习定位轻量 DAST 动态扫描工具 中间人代理兼顾自动化批量扫描、新手入门、CI/CD 流水线集成维护原 OWASP 项目现由 Checkmarx 维护社区持续更新Burp Suite分两个版本社区版Community免费重度阉割无主动扫描、爬虫、API 导入、报告导出仅基础抓包重放不能商用专业版Professional/ 企业版Enterprise付费订阅完整渗透能力红队行业标准工具定位深度手工渗透优先辅助自动化适合专业挖洞、漏洞挖掘、复杂逻辑漏洞测试二、核心功能对比表功能维度OWASP ZAPBurp Suite ProfessionalBurp 社区版中间人抓包代理✅ 完整支持✅ 行业标杆✅ 仅基础抓包自动爬虫普通 AJAX/SPA✅ 双爬虫适配 Vue/React 单页应用✅ 爬虫强大渲染 JS 完善❌ 无爬虫主动漏洞扫描OWASP Top10✅ 内置完整规则一键批量扫描✅ 扫描精度高误报少❌ 无主动扫描API 扫描OpenAPI/Swagger/GraphQL✅ 原生导入文档批量扫✅ 插件支持❌ 不支持模糊测试 Fuzzer✅ 内置支持自定义载荷✅ 高度自定义Payload 库极强基础 Fuzzer自动化 CI/CD 集成✅ Docker、命令行、REST API流水线无缝接入企业版支持专业版仅有限 API❌ 无法集成报告导出HTML/Markdown/JSON/XML 免费导出多格式专业报告❌ 无报告功能插件生态免费插件市场全部无付费BApp 商店分免费 / 付费高级插件插件受限多语言界面内置简体中文仅英文无官方汉化仅英文系统占用轻量化低配电脑流畅内存占用更高大型站点吃配置轻量化三、优势分别是什么ZAP 优势零成本免费无限制学生、开发自测、小企业合规扫描首选自动化拉满天生适配 DevSecOps代码提交自动漏扫上手门槛低简体中文界面、一键自动扫描新手友好SPA 单页网站友好AJAX 爬虫原生适配前端渲染页面无版权风险允许企业内部生产测试使用Burp Suite 专业版优势手工渗透天花板拦截、改包、比对、请求编排功能细节碾压 ZAP挖逻辑漏洞、越权、业务漏洞更强扫描误报更低漏洞检测逻辑更精细人工复核工作量少插件生态成熟大量付费 BApp 插件如 SQLMap 联动、JS 解密、小程序抓包拓展能力强自定义载荷、会话处理、多标签工程管理适合深度渗透测试行业认可度最高护网、红蓝队、漏洞平台挖洞通用标准工具四、短板对比ZAP 短板手工渗透细节弱复杂请求串联、批量数据包处理不如 Burp新型小众漏洞检测更新略慢于 Burp 付费版大型站点深度扫描速度较慢Burp 短板专业版年费昂贵个人长期使用成本高社区版功能残缺几乎无法用于正式漏洞扫描无官方中文全英文界面新手学习成本高自动化流水线集成不如 ZAP 原生便捷五、适用场景推荐选 ZAP 如果你是在校学生、零基础入门 Web 安全预算为 0后端开发自测接口、DevOps 流水线自动安全检测企业低成本合规扫描批量检测 OWASP Top10 基础漏洞测试 Vue/React 前后端分离 SPA 网站需要导出漏洞报告做归档、安全复盘选 Burp Suite 专业版如果你是红队渗透工程师、专职漏洞挖掘、护网行动需要深度手工调试业务逻辑漏洞、复杂加密接口、小程序 / APP 抓包追求低误报、高精度漏洞检测有经费采购授权长期从事渗透测试、漏洞提交变现六、搭配使用方案最优解日常学习 / 工作可以两者互补自动化批量扫描、CI 流水线、新手练习→ ZAP手工深度挖洞、复杂业务逻辑测试、精细化 Payload 调试→ Burp Suite 专业版 两者证书、代理端口互不冲突可随时切换浏览器代理使用。补充关键误区澄清不是 “ZAP 是 Burp 平替”定位不同ZAP 侧重自动化安全测试Burp 侧重手工渗透Burp 社区版无法替代 ZAP社区版没有自动扫描、爬虫仅能做简单抓包不能批量检测漏洞证书不会冲突ZAP 根证书和 Burp 根证书可同时安装在系统互不影响。⚠️ 硬性合规提醒仅能扫描你自己搭建、拥有书面授权的测试靶场DVWA、WebGoat 等严禁扫描公网任意网站属于网络违法行为新手推荐入门路线先选「手动浏览」配置代理、装证书学会抓包看请求响应熟悉流量后用「自动扫描」一键跑完整靶场漏洞查看警报面板理解各类漏洞原理最后导出报告