首页 > 编程笔记 > 通用技能 阅读:6

ZAP下载和安装教程(附安装包)

ZAP 全称 OWASP Zed Attack Proxy,是由国际非营利组织 OWASP 推出的一款开源 Web 应用安全扫描与渗透测试工具,定位相当于“开发者和测试人员手中的免费版 Burp Suite”。

ZAP 把自己架在浏览器与目标服务器之间,以“中间人代理”的形式实时拦截、记录、修改所有 HTTP/HTTPS 流量,并基于内置规则与社区插件自动发现 SQL 注入、XSS、路径遍历、弱口令、CSRF 等常见漏洞。

ZAP 采用 Java 编写,天然跨平台,支持 Windows、macOS、Linux 以及 Kali 等渗透发行版。核心功能分为六大模块:
在应用场景方面,ZAP 既适合安全工程师做上线前渗透,也能嵌入 DevOps 流程完成日常安全门禁。开发者在功能测试阶段打开 ZAP 代理,顺手点一遍业务,就能在后台生成一份带漏洞级别、描述、修复建议的 HTML 报告;测试人员结合 Jenkins、GitLab CI 调用 ZAP 官方 Docker 镜像,可在每次构建后自动对测试环境进行扫描,一旦发现高危缺陷即中断流水线,实现“安全左移”。

此外,ZAP 提供 REST API 与 Python、Java 客户端库,方便与 Selenium、Robot Framework 等自动化框架联动,实现“功能遍历 + 安全检测”一次性完成。

下载ZAP

这里为大家提供了 ZAP 最新版的安装包:

网盘下载:https://pan.quark.cn/s/575cbaef07d7

网盘里提供了适用 Windows、Linux 和 Mac OS 三个平台的 ZAP 安装包,各位对号入座。

安装ZAP

注意,Windows 和 Linux 版本都需要运行 Java 8 或更高版本 JDK,因此在安装 ZAP 之前,一定要下载、安装好 Java JDK。

Windows 平台 JDK 的下载地址为:

网盘下载:https://pan.quark.cn/s/012c035cbc54

下载后会得到 JDK 的 .exe 安装程序,安装过程非常简单,一直点击下一步即可。

接下来以 Windows 为例,演示安装 ZAP 的过程:
1) 双击下载得到的 ZAP_2_16_1_windows.exe,启动安装程序:


没有简体中文选项,只能选择 English,然后点击 OK 按钮。

2) 点击 Next:


3) 选择“I accept...”,然后点击 Next:


4) 选择“Custom installation”:


5) 自定义安装路径,这里建议安装到非系统盘(比如 D 盘),然后点击 Next:


6) 保持默认选项,点击 Next:


7) 依旧保持默认选项,点击 Next:


8) 继续保持默认选项,点击 Next:


9) 点击 Install:


10) 等待安装完成:


11) 出现下图界面,表示安装完成:

启动ZAP

双击桌面上的 ZAP 图标,首先启动会出现下图界面:


然后就可以正常使用 ZAP 了:

相关文章