https://www.zaproxy.org/getting-started/

檢測方法

docker pull ghcr.io/zaproxy/zaproxy:stable# 執行baseline測試
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
-t https://baseline.yeshen.org# 執行api測試
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
-t https://api.yeshen.org -f openapi

背景信息

Zed Attack Proxy (ZAP) 由 Checkmarx 開發，是一款免費開源的滲透測試工具。ZAP 專為測試 Web 應用程序設計，兼具靈活性和可擴展性。

ZAP 的核心是一種“中間人代理”（manipulator-in-the-middle proxy）。它位于測試者的瀏覽器與 Web 應用程序之間，能夠攔截并檢查兩者之間發送的消息，按需修改內容，再將數據包轉發至目標。它既可作為獨立應用程序運行，也可作為守護進程（daemon process）。

如果當前環境中已存在其他網絡代理（如許多企業網絡中的情況），ZAP 可配置為連接到該代理。

ZAP 為不同技術水平的用戶提供支持——從開發者、到剛接觸安全測試的測試人員、再到安全測試專家。ZAP 支持所有主流操作系統和 Docker，因此用戶無需局限于單一操作系統。更多功能可通過 ZAP 客戶端內置的插件市場（ZAP Marketplace）免費獲取。

由于 ZAP 是開源工具，用戶可查看其源代碼以了解功能的具體實現方式。任何人都能自愿參與 ZAP 的開發，包括修復漏洞、添加功能、提交代碼合并請求（pull requests），或為特定場景編寫插件。

ZAP 作為一款開源滲透測試工具，通過中間人代理技術幫助用戶檢測 Web 應用漏洞。其跨平臺支持、插件生態系統和開放社區協作特性，使其成為適應不同技能水平用戶需求的靈活工具。開源特性進一步增強了工具的可信度和功能擴展潛力。