一、persist session

  该功能主要保存扫描分析的结果,方便下次继续分析

  owasp zap 安全审计工具 功能详解-LMLPHP

二、扫描策略

1、修改策略

  A、入口

  owasp zap 安全审计工具 功能详解-LMLPHP

  B、具体设置页面

  owasp zap 安全审计工具 功能详解-LMLPHP

  C、设置完成后,发起主动扫描,在弹出的窗口可以选择策略

  owasp zap 安全审计工具 功能详解-LMLPHP

  D、扫描进度查询:下入中下方的小黑屏可以看到当前扫描任务的扫描详情,如果想要忽略某中扫描,可以点击其行对应的status列

  owasp zap 安全审计工具 功能详解-LMLPHP

三、扫描模式

  1、ZAP 有四种扫描模式 Safe, Protected, Standard, Attack(攻击似的扫描)。 扫描所得的漏洞数量以次递增。

    Safe mode :发现漏洞的数量最少,不会对目标的测试系统做任何破坏性操作(推荐)

    protected mode:发现的漏洞数量比safe模式多一点,可能测试系统造成破坏

    standard mode:发现的漏洞数量比protected模式多一点, 可能对测试系统造成破坏(默认)

    attack mode:发现的漏洞数量最多,可能对测试系统造成破坏性最大

注意:选择模式对系统进行扫描的时候注意选择safe模式,以免对系统造成攻击,带来不必要的麻烦

  owasp zap 安全审计工具 功能详解-LMLPHP

四、升级add-ons

五、Anti CSRF tokens

  某些应用程序为了防止 CSR 攻击,在每次访问时都会随机生成一个新的 Token。这些由伪随机算法生成的随机数也许大部分的扫描器都不支持,防止对应用程序进行重发攻击

   ZAP 的 Anti CSRF Tokens 功能是添加对应用程序的特定的 Tokens(如果该网站有 Token 的话)规避这种保护;

  owasp zap 安全审计工具 功能详解-LMLPHP

六、https CA

  该证书防止使用代理访问应用程序拨错

  1、首先生成并保存 ZAP 的http 证书  owasp zap 安全审计工具 功能详解-LMLPHP

  2、将 ZAP 的http 证书导入浏览器

七、context/scope/filter

八、http session

用于管理站点的登陆态问题,默认使用mamual方式

owasp zap 安全审计工具 功能详解-LMLPHP

九、note/tag

用于表示相关的请求

owasp zap 安全审计工具 功能详解-LMLPHP

十、编解码

对请求/返回的数据进行编解码

owasp zap 安全审计工具 功能详解-LMLPHP

十一、截断

截断请求,修改请求信息,重新发送

owasp zap 安全审计工具 功能详解-LMLPHP

05-11 11:33