OWASP ZAP 是一個知名的 Web 安全測試的工具,免費且開源,此手冊將說明如何安裝與使用ZAP,並介紹如何結合一些網頁自動化測試工具來進行深度弱掃。
需有JDK才能運作,並且有對應的版本號
支援Windows、Linux、macOS,但要注意執行電腦的版本(64位元、32位元)
本工具分為【自動執行】或【手動執行】,本次採用 【自動執行】,並掃描兩個站台(新舊版本系統)做交叉比對。
成果-站台A
成果-站台B
確實發現了jquery的版本過舊、需要更新。
報表產生非常直覺,僅須透過兩個按鈕做就能產出。
報表彙整也很專業好懂。
個人工作者或是有預算限制的單位,建議可以採用此工具進行掃描與後續的排錯,
01. 維基百科 https://zh.wikipedia.org/zh-tw/OWASP
02. ZAP – Download
03.【教學手冊】OWASP ZAP開源弱掃軟體使用教學,與介紹如何結合Rapi、Selenium、Cypress https://hackmd.io/@shinjielee/zap