OWASP ZAP (Zed Attack Proxy) 是一款免费开源的Web应用安全扫描工具，由OWASP基金会维护，适用于初学者和安全专家。以下是详细的入门与进阶使用指南：

---

一、核心功能

1. 主动扫描：自动爬取网站并注入攻击载荷（如SQLi、XSS）。

2. 被动扫描：监控HTTP流量，自动识别潜在漏洞（如缺少安全头）。

3. API扫描：支持OpenAPI/Swagger、GraphQL等API测试。

4. 身份认证支持：可配置表单登录、Cookie认证等复杂场景。

5. 自动化脚本：用JavaScript/Zest脚本定制扫描逻辑。

---

二、基础使用步骤

1. 安装与启动

• 官网下载：ZAP – Download

• 启动后自动创建本地代理（默认 localhost:8080）

2. 配置浏览器代理

• 浏览器设置代理为 127.0.0.1:8080（支持Chrome/Firefox）

3. 快速扫描（Quick Start）

1. 主界面点击 Quick Start > Automated Scan

2. 输入目标URL（如 https://example.com）

3. 点击 Attack 开始扫描

4. 查看结果

• 警报（Alerts） 标签页：按风险等级（High/Medium/Low）列出漏洞

• 站点（Sites） 树形结构：展示爬取的URL路径

---

三、进阶扫描场景

1. 身份认证扫描

图表

• 操作路径：Tools > Authentication > 添加登录配置

2. 自定义扫描策略

• 调整扫描规则：Analyze > Scan Policy

  • 启用/禁用特定漏洞检测规则（如CSRF、目录遍历）

• 设置排除路径：右键站点 > Exclude from Proxy（避免注销链接）

3. API 扫描

1. 导入OpenAPI文件：File > Import OpenAPI Definition

2. ZAP自动生成API请求结构

3. 右键API节点 > Attack > Active Scan

---

四、漏洞示例与修复建议

漏洞类型	ZAP标识方式	修复建议
XSS	警报ID：40012	输入过滤 + CSP策略
SQL注入	警报ID：40018	参数化查询/ORM
敏感信息泄露	响应中含私钥/备份文件	删除调试信息 + 文件权限控制
CORS配置错误	Access-Control-Allow-Origin: *	限制可信域名

---

五、自动化集成

1. 命令行扫描

bash

# 基础扫描命令
zap.sh -cmd -quickurl https://example.com -quickout report.html

2. CI/CD流水线示例（Jenkins）

groovy

stage('Security Scan') {
    steps {
        sh 'zap.sh -daemon -port 8090 -config api.key=12345'
        sh 'curl "http://localhost:8090/JSON/ascan/action/scan/?apikey=12345&url=https://example.com"'
        zapScan failBuild: true // 等待扫描完成并生成报告
    }
}

---

六、最佳实践

1. 测试环境限定：避免扫描生产环境（添加robots.txt排除）。

2. 增量扫描：对修改的模块进行定向扫描。

3. 误报处理：右键警报 > False Positive标记误报。

4. 报告导出：支持HTML/JSON/Markdown格式（Report菜单）。

---

七、常见问题

• HTTPS证书错误：安装ZAP根证书（Tools > Options > Dynamic SSL Certificates）。

• 扫描速度慢：调整线程数（Options > Scan > Max Scanners）。

• 登录失败：检查Session Token是否在请求中正确传递。

---

提示：定期更新ZAP（每周发布新版本）获取最新检测规则。深度测试建议结合手动测试（如重放请求、修改参数）与自动化扫描，覆盖逻辑漏洞（越权、业务缺陷）。遇到复杂场景时，可调用ZAP API实现定制化扫描流程。