一、OWASP ZAP(Web 应用安全扫描,开源免费)
核心定位
专注 Web 应用漏洞检测,支持自动扫描 + 手动渗透,可发现 SQL 注入、XSS、CSRF 等常见漏洞,适合开发 / 测试人员快速排查 Web 系统风险。
安装流程
- 下载:访问 OWASP ZAP 官方网站,根据系统选择 Windows/macOS/Linux 版本。
- 安装
- Windows:双击安装包,按向导默认安装即可。
- macOS:将下载的文件拖入「应用程序」文件夹。
- Linux:解压压缩包,运行文件夹内的启动文件。
- 验证:启动后自动打开图形化界面,无需额外配置,直接可用。
实战用法
(1)基础自动扫描(快速找漏洞)- 点击界面左侧「Quick Start」选项,输入目标 Web 应用的 URL。
- 选择扫描模式:「Quick Scan」(快速扫描,适合初步检测)或「Full Scan」(全面扫描,耗时较长)。
- 点击「Attack」启动扫描,过程中可实时查看进度。
- 扫描完成后,在「Alerts」面板查看结果:高危漏洞标红,每条漏洞包含描述、风险等级、修复建议,直接参考整改即可。
(2)手动渗透测试(精准验证漏洞)
- 配置代理:工具默认代理地址为127.0.0.1:8080,在浏览器的代理设置中填入该地址。
- 拦截请求:访问目标网站,OWASP ZAP 会自动捕获所有 HTTP/HTTPS 请求,在「Proxy→History」中
)
)
