什么是 Zed 攻击代理？

Zed Attack Proxy 是一款用Java编程语言编写的开源安全软件，发布于2010年，用于扫描Web应用程序并发现其中的漏洞。它最初是由开放 Web 应用程序安全项目 (OWASP) 发起的一个小项目，现在它是全球数千人维护的最活跃的项目。它有 29 种语言可供 Linux、Windows 和 mac 使用。它也可以用作像burp suit这样的代理服务器来操纵包括https请求在内的请求。守护程序模式也存在于其中，稍后可以由 REST API 控制。

特征：

• 被动扫描仪
• 自动扫描仪
• 代理服务器
• 端口识别
• 目录搜索
• 蛮力攻击
• 网络爬虫
• 模糊器

为什么我们使用 Zed 攻击代理？
Zed 攻击代理用于检测任何 Web 服务器上存在的漏洞并尝试将其删除。以下是 Web 服务器中可能存在的一些重大漏洞：

• SQL注入
• 跨站脚本 (XSS)
• 访问控制损坏
• 安全错误配置
• 身份验证损坏
• 敏感数据暴露
• 跨站请求伪造 (CSRF)
• 使用具有已知漏洞的组件。

一些重要的术语：

• 代理服务器：它是一个服务器，充当想要通过请求并想要更改请求的客户端的中介。
• Spider：这是一种信息收集过程，在这种情况下，ZAP 应用程序将遍历整个网页并尝试找出所有链接和其他重要细节。
• 被动扫描：在这种类型的扫描中，无需直接接触目标机器即可检测到漏洞。
• 主动扫描：在这种情况下，通过与目标机器直接接触来检测漏洞，这使得管理员很容易检测到。

工作流程：首先我们使用任何浏览器设置代理服务器。浏览器将网站数据发送到代理服务器，然后 ZAP 内部的浏览器处理请求并执行攻击并生成报告。

配置步骤：

• 第 1 步：通过选择适当的操作系统从 https://www.zaproxy.org/download/ 下载 ZAP。
• 第 2 步：运行文件并按照说明进行操作，直到安装完成。

运行步骤：

• 第 1 步：通过终端或单击图标打开应用程序。
• 第2步：在下一步中，选择第一个选项并单击开始。
  
• 第 3 步：现在选择要扫描的目标并在绿色突出显示的框中输入其网址，然后单击攻击。
  
• 第 4 步：现在您必须等待几分钟才能获得结果。