2026-05-14 11:20:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细介绍了OWASPZAP漏洞扫描工具的配置与使用方法，包括在KaliLinux环境中启动ZAP、设置本地代理(端口8091)、配置Firefox浏览器代理插件以及针对SQLi-Labs靶场进行自动化漏洞扫描的全流程操作。文档强调仅限于授权测试环境使用，并提供了具体的攻击URL示例和扫描结果展示，帮助用户快速掌握该安全工具的基本实战技能。 综合评分： 85 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析,实战经验

cover_image

不会Burp Suite？可以试试它

原创

建哥聊安全建哥聊安全

建哥聊安全

2026年5月13日 09:14 湖南

在小说阅读器读本章

去阅读

免责声明：严格禁止对任何未授权系统/网络进行扫描、攻击或入侵。禁止制作/传播恶意程序，禁止参与任何网络犯罪。如擅自将本文实验技术用于非法用途，一切法律后果及责任由行为人独立承担，与作者无关。

OWASP ZAP配置使用

实验目的

熟悉漏洞扫描工具OWASP ZAP的配置使用。

实验环境

操作机：Kali2018-TS

（1）操作系统：Kali Linux 2018.4

（2）登录账号密码：操作系统帐号root，密码Sangfor!7890

靶机：A-SQLi-Labs

（1）操作系统：CentOS 7

（2）安装的应用软件：Apache、MySQL(MariaDB)、PHP；DVWA、SQLi-Labs、Webug3.0漏洞网站环境

（3）登录账号密码：操作系统帐号root，密码Sangfor!7890

实验原理

OWASP ZAP（OWASP Zed Attack Proxy，QWASP攻击代理服务器）是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中自动发现 Web应用程序中的安全漏洞。另外，它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

实验步骤

1．启动OWASP ZAP

（1）在操作机Kali2018-TS上点击桌面左上角菜单“Applications”->“03-Web Application Analysis”->“owasp-zap”，启动OWASP ZAP：

启动后的OWASP ZAP主界面如下图所示：

2．OWASP ZAP代理功能的使用

（1）在OWASP ZAP主界面选择菜单项“Tools”->“Options”->“Local Proxies”，设置如图所示的代理参数并点击“OK”按钮确认：

Address：localhost或127.0.0.1

Port：8091

（2）启动Firefox浏览器，利用FoxyProxy插件新建一个代理：

代理参数如下图所示：

Title or Description(optional)：OWASP ZAP(8091)

Proxy Type：HTTP

Proxy IP address or DNS name：127.0.0.1

Port：8091

设置完成后，点击“Save”按钮保存。

（3）在浏览器上，将FoxyProxy插件的代理切换为“OWASP ZAP(8091)”：

然后，在地址栏输入以下URL，访问靶机A-SQLi-Labs上的SQLi-Labs网站的第1关：

http://[靶机IP]/sqli-labs/Less-1/

（注意大小写）

此时，在OWASP ZAP主界面能够看到代理抓包的信息：

3．OWASP ZAP漏洞扫描功能的使用

在OWASP ZAP主界面右上窗口中，选择“Quick Start标签页”，在“URL to attack”处填写下列URL，并点击“Attack”按钮，启动对SQLi-Labs网站Less-1的扫描：

http://[靶机IP]/sqli-labs/Less-1/

当扫描过程中检测出漏洞，OWASP ZAP会产生报警信息，如下图所示：

实验至此结束。

实验总结

本次实验，熟悉了漏洞扫描工具OWASP ZAP的配置使用。

更多学习资料点击头像关注公众号，后台私信回复666即可领取视频学习资料，赶紧来领取吧！！！

往期精选：

你的电脑密码就这样被暴力破解了？

这款插件能隐藏或伪装客户端浏览器信息？

黑客万能工具包

还在手动SQL注入？赶紧用这个自动化工具！

这个工具！！我看刑!

原来钓鱼网站是这么搭建的！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全建哥聊安全建哥聊安全《不会Burp Suite？可以试试它》