工作上刚好用到OWASP ZAP，採了几个坑以后，决定把它纪录下来，希望哪天要用到谁(也许是我)可以快速上手，下面就开始来说明啦~

OWASP ZAP扫描工具安装与说明

什么是OWASP ZAP

OWASP Zed Attack Proxy (简称ZAP) 于2010年9月从 Open Web Application Security Project (OWASP)开发，是一个知名的网页程式漏洞检测工具，免费且开源，属于黑箱渗透测试。

---

安装步骤

安装档下载：https://www.zaproxy.org/download/目前OWASP ZAP的最新版(ZAP 2.12.0)需搭配java 11(参考资料)若Java预设版本不对，开启安装档则会跳出讯息，可以按locate指定其他java版本位置(Bin资料夹)执行安装步骤，完成后开启OWASP ZAP，若出现"This Application requires a Java Runtime Environment..."

有可能是使用OpenJDK等原因导致版本找不到，请到安装目录下找到zap.bat(通常预设在‪C:\Program Files\OWASP\Zed Attack Proxy\zap.bat)，并改写指令，将最后一行的java换成你的java.exe位置，例如：

C:\openjdk11\jdk-11.0.2\bin\java.exe %jvmopts% -jar zap-2.12.0.jar %*

此后都用zap.bat启动OWASP ZAP，就会完成后续的安装步骤了并开启了。参考资料

执行扫描

进入后会跳出提示框询问是否储存之后的扫描内容到暂存档，请根据需求选择。
点选中间的Automaed Scan，进入Quick Start页面，设定Url to Attack选项，按下Attack即可进行黑箱扫描。完成后下方就会列出扫描结果。

产生报告

点选工具列的Report > Genarate Report...，可以设定汇出位置等等，其中Report Title和Description会显示在汇出的报告中。切换到Template页籤，更改Template可以选择要汇出报告的档案类型。如果有客製报告的需求，请参考官网Creating Reports，他允许我们使用Thymeleaf templating engine创建自己的报告，透过修改%USERPROFILE%\OWASP ZAP\reports目录下的各种report档，可以接上官网提供的API客製产出的报表格式例如想客製化pdf报表，可以修改%USERPROFILE%\OWASP ZAP\reports\traditional-pdf\report.html

---

其他问题

在扫描中出现Failed to start/cnnect to '...', is the browser available/Supported?：官网的详细说明
OWASP ZAP在扫描时会模拟浏览器执行，在扫描前的设定Use ajax spider可以设定标头，请使用已安装的浏览器。如果浏览器太新也会不支持，因为他需要对应的webdriver和Selenium去启动浏览器，但浏览器的更新很频繁，所以你可以上网找更新的webdrivers，例如Chrome最新的ChromeDriver，放到%USERPROFILE%\OWASP ZAP\webdriver\windows\64\里把原本的webdriver取代掉，重开OWASP ZAP再试一次，又或者是想办法降低本机浏览器的版本所有错误都会记录在%USERPROFILE%\OWASP ZAP\zap.log里