较好的教程:https://www.wangan.com/docs/802
官网可以下载软件,也可安装docker版本的
0 前提
需要java8的环境,查看java版本命令如下:
$java -version
$which java
$whereis java如果装了java 7,8 ,当前java 为java7,只需要切换版本即可,即重新设置环境变量
(2)修改环境变量
$vi /etc/profile
设置如下:
export JAVA_HOME=/opt/jdk1.8.0_60
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$JAVA_HOME/bin:$PATH(3)环境变量生效
$source /etc/profile1 docker安装ZAP
进入官网下载页面,往下拉可以看到docker下载地址,这里我们选择stable,稳定版本,然后按照官网的guide逐步按照即可。
(1) 拉取镜像
docker pull owasp/zap2docker-stable:latest
(2)启动
docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh注意一定是http://10.27.22.92:8080/zap/,如果是http://10.27.22.92:8080会出现输入用户名密码。开始出现是小屏幕,点击全屏即可。
2 直接安装
适用于可以有界面的终端
[root@m01ly ~]# wget https://github.com/zaproxy/zaproxy/releases/download/v2.9.0/ZAP_2_9_0_unix.sh
(2)安装
[root@m01ly ~]# chmod 777 ZAP_2_9_0_unix.sh
[root@m01ly ~]# ./ZAP_2_9_0_unix.sh弹出界面:
默认安装路径位于/usr/local/zaproxy中,同时在用户目录下存在一个文件,位置为/home/admin/.ZAP,里面存放了软件的配置文件(config.xml)、脚本文件(community-scripts)、插件文件(plugin)、策略配置文件(policies)、远程调用会话保存目录(session)、本地启动文件会话(sessions)等重要文件;注意每次软件关闭时候,就会保存配置,所以配置文件的内容是最后一次软件关闭前的配置
执行zap.sh
[root@m01ly zaproxy]# ./zap.sh在虚拟机之外弹出了ZAP,说实话第一次安装有点吓一跳。
这里注意如果是堡垒机去安装,则不适合这种安装方式,会出现如图所示的错误,最好选择docker版本的。
./zap.sh -daemon虽然启动成功, 但却无法在linux上启动后直接打开zap程序
3 特性
缺点:报告格式仅仅支持html,xml不支持csv,excel。
优点:集扫描,拦截(bp的功能),使用于个人渗透测试。