機緣巧合，最近接觸了一款開源的web安全工具OWASP ZAP，著實眼前一亮。操作簡單易用、功能齊全、插件種類豐富，具備代理、數(shù)據(jù)截斷、掃描、主動攻擊、爬蟲、fuzzing、滲透測試等多樣的安全測試功能，相比于商業(yè)版的Burp Suite和AppScan工具，OWASP ZAP不乏為一款不錯的商用版替代工具，也是安全人員入門的極佳體驗工具。本文將根據(jù)OWASP ZAP工具特性，分別將其與Burp Suite、AppScan工具進行對比，來感受該工具的強大功能。

[[347902]]

OWASP ZAP(全稱OWASP Zed Attack Proxy)是由全球性安全組織OWASP推出并定期維護更新的一款開源工具，ZAP專為測試Web應(yīng)用程序而設(shè)計，并且既靈活又可擴展，它是以架設(shè)代理的形式來實現(xiàn)滲透性測試，他將自己置于用戶瀏覽器和服務(wù)器中間，充當(dāng)一個中間人的角色，瀏覽器所有與服務(wù)器的交互都要經(jīng)過ZAP，這樣ZAP就可以獲得所有這些交互的信息，并且可以對他們進行分析、掃描、甚至是改包再發(fā)送。

首先通過下表直觀對比下三款工具對于常用功能的具備情況：

相信小伙伴們看完表格也會不禁感嘆一下OWASP ZAP工具的功能之齊全。Burp Suite主要依托于其強大的插件集成，擅長于通過攔截、修改、重放數(shù)據(jù)包方式挖掘漏洞，Appscan Srandard為一款安全掃描工具，可自動化檢測目標(biāo)網(wǎng)站的漏洞情況，掃描功能完善且漏洞挖掘能力較強、漏洞處理建議完備。前兩者均為商業(yè)型工具，ZAP則結(jié)合了二者的特性，依托OWASP組織強大的實力背景，逐步演變成了一款功能齊全、開放性的工具。接下來，針對不同特性，將ZAP分別與這兩款工具進行功能對比。

一、OWASP ZAP與Burp Suite

1. 工作空間保存

Burp Suite支持臨時保存項目、新建項目、打開已存項目三種方式，可對工作空間進行管理。

ZAP通過保存會話的方式同樣可以選擇將測試過程中所有內(nèi)容進行留存。

2. 基礎(chǔ)頁面

Burp Suite頁面分為多個頁簽，其中Target頁面中①陳列出捕獲到的站點目錄，②展示某個站點抓取到的流量數(shù)據(jù)，選中某個數(shù)據(jù)后在③中顯示其請求和響應(yīng)報文，④展示被動掃描發(fā)現(xiàn)的缺陷，⑤為缺陷具體詳情。

ZAP頁面除常規(guī)的菜單欄、工具欄外，①陳列出捕獲到的站點目錄，②③為選中的某條數(shù)據(jù)的請求或響應(yīng)報文(分頁顯示報文頭和報文內(nèi)容)，④實時展現(xiàn)捕獲的數(shù)據(jù)流量，⑤展示工具的執(zhí)行狀態(tài)以及警告的匯總。

3. 代理設(shè)置

Burp Suite中的Proxy模塊作為其核心功能，攔截HTTP/S的代理服務(wù)器，作為一個在瀏覽器和目標(biāo)應(yīng)用程序之間的中間人，允許攔截、查看、修改在兩個方向上的原始數(shù)據(jù)流。

ZAP同樣采用架設(shè)代理的方式，其代理配置在設(shè)置的Local Proxies中，默認設(shè)置為127.0.0.1:8080。

4. 請求與響應(yīng)

Burp Suite中Target模塊可展示所有抓取的流量數(shù)據(jù)的請求和響應(yīng)報文，并分頁簽顯示。

ZAP中同樣可展示所有數(shù)據(jù)流量的請求和響應(yīng)報文，并且可選擇多樣式視圖。

5. 報文截斷

Burp Suite具備對報文攔截、查看、修改等多種操作，使用上靈活方便，算是工具最出彩的一部分功能。

ZAP同樣具備報文的查看、截斷、修改等功能，但截斷再發(fā)送后等待的響應(yīng)時間稍微較長，整體不如Burp Suite敏捷。

6. 暴力破解

Burp Suite的爆破功能在Intruder頁簽中完成，這部分可實現(xiàn)定制化的功能，通過添加payload(XSS，SQLI等等)來實現(xiàn)一個自動化的攻擊或是密碼爆破。

ZAP的爆破是在Fuzzer中實現(xiàn)，同樣可對選定參數(shù)添加定制化的字典進行大量的攻擊操作，并且Fuzzer中自帶了許多漏洞的payload。

7. 編碼和解碼

Burp Suite中Decoder頁簽可對報文內(nèi)容進行編碼和解碼，支持多種加解密方式。

ZAP中通過選中需要字段，然后右鍵選擇編解碼可對報文中內(nèi)容記性編碼、解碼、哈希操作。

以上是Burp Suite工具比較具有代表性的功能，并且Burp Suite和ZAP同樣含有豐富的插件，并提供API，開發(fā)者可定制自己的程序。對于漏洞掃描，這三個工具都具備自動化的掃描功能，但是Burp Suite的掃描功能目前不如Appscan全面，因此接下來將主要對比下ZAP與Appscan的掃描功能情況。

二、OWASP ZAP與AppScan Standard

1. 爬蟲

Appscan中將爬蟲操作稱為"探索"，利用網(wǎng)頁發(fā)送和返回的內(nèi)容都是統(tǒng)一的語言 HTML，通過對 HTML 語言進行分析，找到里面的參數(shù)和鏈接，記錄并繼續(xù)發(fā)送之，進而對網(wǎng)站結(jié)構(gòu)進行爬取。

ZAP中支持兩種爬蟲方式，一個是傳統(tǒng)的爬蟲技術(shù)，另一種是ajax爬蟲。ajax技術(shù)是通過JavaScript來生成鏈接，ZAP的ajax爬蟲通過喚起瀏覽器進程來探索Web應(yīng)用，并且會追蹤動態(tài)生成的鏈接。

2. 策略配置

Appscan支持全面的掃描配置，針對不同的掃描目標(biāo)，可配置不同的掃描策略、測試策略。

ZAP可根據(jù)情況自定義掃描策略，策略中包含報警閥值和攻擊強度兩個參數(shù)，且可以分別對信息收集、客戶端瀏覽器、服務(wù)器安全、雜項、注入等多各方面分別進行配置。

3. 掃描

"掃描規(guī)則庫"、"探索"、"測試"構(gòu)成了AppScan的核心三要素。ZAP支持自動掃描和手動掃描兩種測試方式，并提供Appscan(Web應(yīng)用)和外部設(shè)備/客戶機(Appscan作為記錄代理)兩種探索方式。

ZAP支持主動掃描和被動掃描兩種方式，可根據(jù)測試目標(biāo)情況，選取相應(yīng)的測試方式。被動掃描可對所有以代理形式接收到的請求和響應(yīng)報文進行自動檢測，它不會以任何形式改動任何反饋信息，可以提供一些基礎(chǔ)的Web安全性信息。主動掃描提供自動掃描和手動掃描兩種方式，會通過一些預(yù)設(shè)的攻擊來達到發(fā)現(xiàn)更多漏洞的目的，對于被測目標(biāo)而言，主動掃描會發(fā)起真實的、可能造成損失的攻擊。

下圖為兩個工具實時記錄掃描進度和掃描內(nèi)容。

4. 掃描結(jié)果查看

Appscan工具提供完備的漏洞詳情，包括漏洞類型、數(shù)量、涉及的URL、在報文的具體位置、問題詳情、修訂建議等，可方便使用者確認漏洞是否真實存在。

ZAP工具在alert(警報)頁簽展示漏洞詳情。所有風(fēng)險項可以展開，ZAP在右側(cè)窗口會對該風(fēng)險項提供說明和解釋，并且在右上部response區(qū)域高亮展示具體風(fēng)險項由來(從響應(yīng)中分析得出的)。

5. 重放

重放操作是確認漏洞是否報告有誤的有效方式，Appscan可對檢測的漏洞再次進行手動測試。

ZAP基本具備和Appscan相同結(jié)構(gòu)的重放功能，并且可對報文進行編輯。

綜上可看出，OWASP ZAP工具基本具備Burp Suite和Appscan的主要安全測試功能，但其自身也存在多處不足的地方，相比于Burp Suite，其抓包、改包等滲透測試功能上操作不如Burp Suite靈活多樣;相對于Appscan，其掃描更為輕量，即操作便捷、掃描迅速，然而漏洞挖掘情況不如Appscan更深層，但這一點兒也不影響人們對它的青睞，OWASP ZAP基本可以滿足安全測試所需的功能，并且作為一款免費的開源工具，對于學(xué)生黨或者安全入門人員絕對是一個不錯的選擇。