OWASP ZAP

OWASP Zed攻击代理(ZAP)是一个易于使用的集成渗透测试工具，用于发现web应用程序中的漏洞。它是为具有广泛安全经验的人设计的，因此对于新接触渗透测试的开发人员和功能测试人员是理想的，并且是有经验的渗透测试人员工具箱的有用补充。

ZAP提供了自动扫描器以及一组工具，允许您手动查找安全漏洞。

一些ZAP的特点:

开源
跨平台的
易于安装(只需要java 1.7)
完全免费(专业版无需付费)
易用性优先
全面的帮助页面
完全国际化
被翻译成十几种语言
以社区为基础，积极鼓励参与
一个国际志愿者团队正在积极开发

一些ZAP的功能:

拦截代理
传统和AJAX蜘蛛
自动扫描
被动的扫描仪
强制浏览
Fuzzer
动态的SSL证书
支持智能卡和客户端数字证书
Web sockets支持
支持广泛的脚本语言
Plug-n-Hack支持
身份验证和会话支持
强大的基于rest的API
自动更新选项
集成和增长的附加组件市场

OWASP ZAP w2020-08-17更新日志

会话管理脚本

现在可以定义处理非标准或更复杂会话管理的脚本。
会话管理脚本可以完全访问身份验证请求和响应，并可以定义自定义强制和可选参数。提供了一个OWASP果汁商店的会话管理脚本示例。

主动扫描过滤器

现在可以在活动扫描中过滤请求。以下是支持的准则:

HTTP方法
状态码
标签
URL模式
自定义全局/脚本变量

现在，脚本可以共享定制的全局/脚本变量，这些变量可以是任何类型，而不仅仅是字符串，例如，列表、映射、GUI模型。
在JavaScript中访问/设置如下:

var ScriptVars = Java.type("org.zaproxy.zap.extension.script.ScriptVars")

ScriptVars.setScriptCustomVar(this.context, "var.name", {x: 1, y: 3})
print(ScriptVars.getScriptCustomVar(this.context, "var.name").y) // Prints 3

ScriptVars.setGlobalCustomVar("var.name", ["A", "B", "C", "D"])
print(ScriptVars.getGlobalCustomVar("var.name")[2]) // Prints C

提升了以下扫描规则：

被动扫描规则–发布

• 没有SameSite属性的Cookie
• 跨域配置错误
• 信息披露：URL
• 信息披露：引荐来源
• 信息披露：可疑评论
• 服务器通过“ X-Powered-By” HTTP响应头字段泄漏信息
• 时间戳记披露
• 找到的用户名哈希
• X-AspNet版本响应标题扫描程序
• X-Debug-Token信息

过滤器类别移除

自ZAP 2.4.0起不推荐使用的过滤器功能的类/代码已被删除。仍在使用的加载项将停止工作。

捆绑图书馆的变化

删除了以下库：

• JDOM
• 差异实用程序

不再被核心使用，如果需要，附加组件应捆绑该库。以下库已更新：

• 有弹性的城堡，1.61→1.64
• Commons BeanUtils，1.9.3→1.9.4
• 通用编解码器，1.12→1.13
• 公用CSV，1.6→1.7
• 公地文字，1.6→1.8
• HSQLDB，2.4.1→2.5.0
• Nashorn沙箱，0.1.25→0.1.26
• RSyntaxTextArea，3.0.3→3.0.4
• SQLite JDBC，3.27.2.1→3.28.0

增强功能

• 2016年问题：如果发生冲突，请在GUI中选择唯一的端口
• 问题2619：允许加载项声明/捆绑其依赖项
• 问题3358：增强：选项面板筛选器
• 问题3402：在脚本之间共享自定义变量
• 问题3491：功能请求：选择多个上下文
• 问题4963：允许指定登录页面的URI
• 问题5278：能够过滤针对哪些活动扫描运行的请求
• 问题5303：用于添加和更改警报的API调用
• 问题5436：向上下文技术添加新语言
• 问题5464：弃用Context.getIndex并实现Context.getId
• 问题5466：将实用程序方法添加到Alert类
• 问题5550：使用默认设置加载其他本地代理
• 问题5563：在选项>键盘中包括导入/在线菜单
• 问题5598：将站点证书的有效期修改为825d
• 问题5614：手动请求编辑器图标
• 问题5630：支持会话管理脚本
• 问题5656：将Base64url添加到编码器/解码器工具
• 问题5667：改进保存/导出时的权限和空间处理
• 问题5671：在守护程序模式下检查更新
• 问题5672：首次启动时不提示接受许可证
• 问题5680：更新依赖项
• 问题5681：删除未使用的依赖项
• 问题5691：将上下文详细信息公开给被动扫描规则
• 问题5696：直接将上下文技术集公开给被动扫描规则
• 问题5723：AntiCSRF令牌添加新的默认值
• 问题5756：HttpHeader为getHeaders（String）提供List变体
• 问题5774：允许通过API启用/禁用所有被动标签
• 问题5779：MacOS DMG –切换回HFS +
• 问题5782：更新默认用户代理
• 问题5785：在页脚主代理标签中添加列出所有代理的工具提示
• 问题5795：在元刷新中处理引用的URL

Bug修复

• 问题1164：手动“重新发送”在响应时设置cookie
• 问题4003：使用“低内存”模式时出现问题。
• 问题5427：在手动请求编辑器中更新HTTP协议版本
• 问题5449：API没有响应-内部错误
• 问题5452：请勿删除其他扩展的资源包
• 问题5486：修复统计信息中的计数错误
• 问题5487：添加已注册脚本类型的已保存脚本
• 问题5490：未在身份验证请求中编码的反CSRF令牌
• 问题5491：没有来自身份验证脚本的请求目标的身份验证请求导致异常
• 问题5492：改进创建扫描策略时的错误处理
• 问题5518：ZAP可能不使用传出代理身份验证凭据
• 问题5585：ZAP 2.8.1挂在Kali上
• 问题5613：在验证POST数据中解决缺少令牌的问题
• 问题5619：-configfile选项可能对数组失败
• 问题5622：一致的SessionTracking按钮同步
• 问题5624：警报参数可能未正确加载
• 问题5636：script.js从未在本地主机上提供
• 问题5704：等待安装附加组件
• 问题5743：“查找+取消”按钮既不居中也不向右对齐
• 问题5744：改进“搜索”菜单项的标签
• 问题5780：删除消息时不显示消息
• 问题5783：默认情况下禁用JAR缓存
• 问题5794：RegexAutoTagScanner的正确MailTo模式

OWASP ZAP w2020-08-17下载地址

①github:
github.com/zaproxy/zaproxy/releases/download/w2020-08-17/ZAP_WEEKLY_D-2020-08-17.zip

kali linux安装方法:

apt-get install zaproxy