一、persist session
该功能主要保存扫描分析的结果,方便下次继续分析
二、扫描策略
1、修改策略
A、入口
B、具体设置页面
C、设置完成后,发起主动扫描,在弹出的窗口可以选择策略
D、扫描进度查询:下入中下方的小黑屏可以看到当前扫描任务的扫描详情,如果想要忽略某中扫描,可以点击其行对应的status列
三、扫描模式
1、ZAP 有四种扫描模式 Safe, Protected, Standard, Attack(攻击似的扫描)。 扫描所得的漏洞数量以次递增。
Safe mode :发现漏洞的数量最少,不会对目标的测试系统做任何破坏性操作(推荐)
protected mode:发现的漏洞数量比safe模式多一点,可能测试系统造成破坏
standard mode:发现的漏洞数量比protected模式多一点, 可能对测试系统造成破坏(默认)
attack mode:发现的漏洞数量最多,可能对测试系统造成破坏性最大
注意:选择模式对系统进行扫描的时候注意选择safe模式,以免对系统造成攻击,带来不必要的麻烦
四、升级add-ons
五、Anti CSRF tokens
某些应用程序为了防止 CSR 攻击,在每次访问时都会随机生成一个新的 Token。这些由伪随机算法生成的随机数也许大部分的扫描器都不支持,防止对应用程序进行重发攻击
ZAP 的 Anti CSRF Tokens
功能是添加对应用程序的特定的 Tokens(如果该网站有 Token 的话)规避这种保护;
六、https CA
该证书防止使用代理访问应用程序拨错
1、首先生成并保存 ZAP 的http 证书
2、将 ZAP 的http 证书导入浏览器
七、context/scope/filter
八、http session
用于管理站点的登陆态问题,默认使用mamual方式
九、note/tag
用于表示相关的请求
十、编解码
对请求/返回的数据进行编解码
十一、截断
截断请求,修改请求信息,重新发送