OWASP ZAP 是一个开源的安全测试工具，功能和Burpsuite一样，它们也同样是使用Java语言编写。

是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本章中，将使用最近添加的强制浏览，这是在ZAP中DirBuster的实现。 

目标完成：

为了使这个程序工作，需要使用ZAP作为Web浏览器的代理。

1. 在Kali Linux中启动OWASP ZAP。

找到owasp zap后，点击左键从而启动该程序 

2. 打开OWASP ZAP，将ZAP中的代理端口由8080改为8088。--修改代理服务器参数

点击Start进入

点击Tools，找到Options，点击进入

下拉滚动条，找到Network，鼠标左键点击，将Port端口改为8088，点击OK完成

 更改的原因：

默认情况下，它使用端口8080， 这是可以的，但是如果让ZAP和Burp Suite同时运行，则会干扰Burp Suite等其他代理

3.1. 修改kali linux中firefox的代理参数-方法一 

点击右上角三横图标，找到settings并单击左键

进入firefox浏览器页面，下拉到最下面，点击settings

选择Manual proxy configuration，在HTTP Proxy中输入：127.0.0.1，在Port中输入8088

在No proxy ror中输入：localhost，127.0.0.1，点击OK完成

3.2. 修改kali linux中firefox的代理参数-方法二 （略）

使用FoxyProxy插件设置多个代理，切换他们只需要点击一下

3.3 修改完后，Firefox通过ZAP上网，Firefox的所有流量都经过ZAP，如果不配代理，Firefox的上网流量不会经过ZAP。

拿买火车票打比喻：配置了代理后，Firefox要去买火车票就必须通过ZAP，Firefox自己不能去买火车票。代购/票贩子/黄牛党。

4. 在kali linux中使用firefox打开靶场网页http://192.168.242.132,再点击页面中的WackoPicko，观察过程中ZAP的情况。

观察靶场的IP地址，靶场的IP是192.168.242.132，网站是http://192.168.242.132

输入靶机IP地址，进入靶场找到目标网站

注意，此时zap中产生了数据

5. 在底部面板中，我们将看到强制浏览选项卡被显示出来。这里我们可以看到扫描的进展和结果。

总结：

代理是一个应用程序，充当客户端和服务器之间的中介，或者为一个服务器组提供不同的服务。客户端从代理请求服务，代理能够将请求转发到适当的服务器并获取来自客户端的回复。 当将浏览器使用ZAP作为代理时，并且ZAP正在监听时，它不会直接发送请求到想要浏览网页的服务器，而是发送到定义的地址。然后ZAP将请求转发给服务器，但发送的是没有注册和分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同，需要配置相应的字典，并向服务器发送请求，就像它试图浏览列表中的文件一样。如果文件存在，服务器将相应地做出响应，如果它们不存在或者当前用户无法访问，则服务器将返回错误。