---
title: "OWASP ZAP"
weight: 20
description: "开源 Web 应用扫描器"
date: "2026-03-24T16:29:46+08:00"
lastmod: "2026-03-24T16:29:46+08:00"
---

## OWASP ZAP

OWASP ZAP (Zed Attack Proxy) 是一款开源 Web 应用安全扫描器，提供漏洞扫描和渗透测试功能。

## 基础使用

### 启动 ZAP
```bash
./zap.sh  # Linux/macOS
zap.bat   # Windows
```

### 配置代理
1. 启动 OWASP ZAP
2. 配置浏览器代理 → 127.0.0.1:8080
3. 开始拦截流量

### 自动扫描
```
攻击 → 自动扫描 → 输入目标 URL
```

### 手动探索
```
工具 → 手动探索 → 输入目标 URL
```

## 主要功能

| 功能 | 描述 |
|------|------|
| 代理 | 拦截代理 |
| 主动扫描 | 漏洞扫描 |
| 被动扫描 | 被动检测 |
| 模糊测试 | 输入测试 |
| 会话管理 | Cookie 处理 |
| API 支持 | REST API |

## 功能特性

- **主动扫描** - 自动化漏洞检测
- **被动扫描** - 流量分析检测
- **拦截代理** - HTTP/HTTPS 流量拦截
- **模糊测试** - 输入验证测试
- **API 支持** - 自动化集成
- **插件系统** - 扩展市场

## 使用示例

```bash
# 命令行启动
./zap.sh -daemon -port 8080

# API 扫描
curl "http://localhost:8080/JSON/ascan/action/scan/?url=https://target.com"

# 获取扫描结果
curl "http://localhost:8080/JSON/core/view/alerts/"
```

## 参考资源

- [OWASP ZAP 官方文档](https://www.zaproxy.org/docs/)
- [ZAP GitHub](https://github.com/zaproxy/zaproxy)