1、下載與安裝

1.1、下載

百度網盤：https://pan.baidu.com/s/1-PySFuJJMlKzoCz5eCkIcg
提取碼：in8m

1.2、安裝

zap為免費開源的滲透測試工具，無需破解，雙擊執行，預設下一步即可。

2、使用

1、開啟應用

雙擊桌面上的快捷方式開啟即可。如果提示未安裝JDK，找到安裝目錄，雙擊zap.bat也可以。

啟動之後，預設建立一個新會話，會有三個選項。我們在學習過程中可以選擇不儲存這個會話。在正式的滲透測試中，需要儲存這個會話到磁碟中。

2、快速開始

zap是一個較容易入門的滲透測試工具，它提供了快速開始面板，對於不需要登入的目標地址，我們直接選擇Automated Scan，輸入目標網站地址，選擇相應的爬取方式，點選攻擊按鈕即可。

3、設定登入

zap提供五種登入方式，本次介紹一種設定session的方式來跳過登入步驟，這種方式適用於大多數網站。

3.1、新增令牌

選擇工具>選項...>HTTP Sessions>add，新增自己的token name

3.2、手動瀏覽目標地址，獲取session token value

在快速開始面板，選擇Manual Explore，輸入目標地址，點選啟動瀏覽器，手動登入，並瀏覽一到兩個地址。

3.3、新建session會話

在HTTP Sessions選項卡，選擇目標站點，點選新建會話，下方列表欄會增加一條session記錄，會記錄session token的值，並設定為active即可。

3.4、將目標網站包含在上下文中

在站點樹上，選擇目標地址，右鍵選擇Include in Context，將目標地址包含在指定上下文中

3.5、爬取目標網站

在站點樹上，選擇目標地址，右鍵選擇點選AJAX Spider，選擇上一步的指定上下文，即可爬取目標網站。

4、檢視過程

5、結果與報告

可以在警報欄看到掃描之後的結果，並可以看到漏洞的詳細資訊以及提供的建議等。

在報告欄，可以生成多種新式的報告。