Zed Attack Proxy中文漢化版是一款實用性很強的電腦web滲透測試軟件，它能夠深入電腦系統，掃描檢測出web應用的缺陷，多種方式暴力掃描漏洞，是開放人員、程序員等工作者的好助手，喜歡的朋友趕緊來IT貓撲網下載體驗吧！

Zed Attack Proxy官方介紹

Zed Attack Proxy是由OWASP出品的一款web滲透測試工具，Zed的代理攻擊(ZAP)也是現在最流行的OWASP項目之一。Zed Attack Proxy受歡迎是因為它有很多擴展支持，它被設計適用于有各種各樣安全經驗的任何人使用，因此它是開發和功能測試人員理想的滲透測試工具。

OWASP簡介

開放式Web應用程序安全項目（OWASP，Open Web Application Security project）是一個組織，它提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息。其目的是協助個人、企業和機構來發現和使用可信賴軟件?！￠_放式Web應用程序安全項目（OWASP）是一個非營利組織，不附屬于任何企業或財團。因此，由OWASP提供和開發的所有設施和文件都不受商業因素的影響。OWASP支持商業安全技術的合理使用，它有一個論壇，在論壇里信息技術專業人員可以發表和傳授專業知識和技能。

Zed Attack Proxy使用教程

一、簡單介紹

ZAproxy是一個易于使用交互式的用于web應用程序漏洞挖掘的滲透測試工具。

ZAP即可以用于安全專家、開發人員、功能測試人員，甚至是滲透測試入門人員。

ZAP除了提供了自動掃描工具還提供了一些用于手動挖掘安全漏洞的工具。

二、基本設置

1菜單欄-->>工具-->>選項-->>本地代理（ie通過本地代理進行測試）

2菜單欄-->>工具-->>選項-->>connection（設置timeout時間及網絡代理、認證）

3菜單欄-->>工具-->>選項-->>Spider（設置連接的線程等） 4菜單欄-->>工具-->>選項-->>暴力破解（此處可導入字典文件） 5菜單欄-->>分析-->>掃描策略（設置掃描策略）

三、一些要點

1主動掃描和被動掃描：主動掃描就像普通的掃描器主動去探測測試漏洞，而被動掃描是將寫好的正則表達式（規則）放在后臺線程，不影響應用程序整體運行速度，被動地對被測試的Web應用程序進行響應（如果觸發了規則）。

2請求斷點：主要通過請求斷點的方法實現繞過客戶端驗證（通常使用javascript執行），截取請求從瀏覽器和改變它之前提交到網站所測試的應用程序。

3目錄掃描（暴力）主要通過字典文件直接訪問目錄的形式猜解存在的目錄，可用來找管理后臺，字典文件目錄:G:\program files\OWASP\Zed Attack Proxy\dirbuster

4模糊測試（Fuzzer）：模糊測試是指大量無效的或意外的數據提交到目標的技術。（來源·google）；在此處導入模糊測試列表：菜單欄-->>工具-->>選項-->>Fuzzer，還可以選擇默認測試哪種類型的漏洞。

5調用應用程序：例如Nmap（來源google，有這個功能，但是怎么擴展不太明白） 6蜘蛛（Spider）：現手動探索應用程序，只用蜘蛛找到你已經錯過了，或以某種方式隱藏的鏈接。

四、基本的滲透測試流程

1探索：使用瀏覽器來探索所有的應用程序提供的功能。打開各個URL，按下所有按鈕，填寫并提交的一切表單類別。如果應用程序支持多個用戶，那么做的每一個用戶保存在不同的文件，然后再開始使用的下一個用戶，啟動一個新的會話。

2蜘蛛：使用蜘蛛找到的網址。

3暴力掃描：使用暴力掃描儀找到未引用的文件和目錄。

4主動掃描：使用主動掃描器找到基本的漏洞。 5手動測試：上述步驟或許找到基本的漏洞。為了找到更多的漏洞，需要手動測試應用程序。 另：還有一項端口掃描的功能，作為輔助測試用。

Kali Linux Web 滲透測試原理及使用介紹

PROXY基本原理

正向代理(Forward Proxy)

訪問本無法訪問的服務器

Cache作用

客戶端訪問授權

隱藏訪問者的行蹤

反向代理（reverse proxy）

透明代理（transparente proxy）

KALI LINUX中的代理工具

Mitmproxy

a man-in-the-middle proxy

Intercept HTTP requests and responses and modify them on the fly.

Save complete HTTP conversations for later replay and analysis.

Replay the client-side of an HTTP conversations.

Replay HTTP responses of a previously recorded server.

Reverse proxy mode to forward traffic to a specified server.

Transparent proxy mode on OSX and Linux.

Make scripted changes to HTTP traffic using python.

SSL certificates for interception are generated on the fly.

And much, much more.

Owasp-zap

OWASP Zed Attack Proxy Project攻擊代理（簡稱ZAP），是一款查找網頁應用程序漏洞的綜合類滲透測試工具。它包含了攔截代理、自動處理、被動處理、暴力破解、端口掃描以及蜘蛛搜索等功能。

OWASP ZAP為會話類調試工具，調試功能對網站不會發起大量請求，對服務器影響較小。

Paros

paros proxy，這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash 計算器，還有一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷等。

Proxystrike

Plugin engine (Create your own plugins!)

Request interceptor

Request diffing

Request repeater

Automatic crawl process

Http request/response

history Request

parameter stats Request

parameter values stats

Request url parameter signing and header field signing

Use of an alternate proxy (tor for example ;D )

Sql attacks (plugin)

Server Side Includes (plugin)

Xss attacks (plugin)

Attack logsExport results to HTML or XML

web滲透測試工具(OWASP Zed Attack Proxy)v2.3.1 中文免費版下載地址