十大工具及应用策略搞定OWASP热门威胁

　　第二位: 跨站点脚本 (简称XSS) - ZAP

　　Zed攻击代理(简称ZAP)，同样是OWASP项目的一部分，这是一款"易于使用的，帮助用户从网页应用程序中寻找漏洞的综合类渗透测试工具"。它同时还是Paro Proxy项目的一款分支软件(目前相关的支持功能已取消)。ZAP公司拥有对其所发布工具的长效及对未来版本的明确发展路线;在后续产品中，功能性无疑将得到进一步加强。该工具的1.2.0版本包含了拦截代理、自动处理、被动处理、暴力破解以及端口扫描等功能，除此之外，蜘蛛搜索功能也被加入了进去。正是因为ZAP具备对网页应用程序的各种安全问题进行检测的能力，在这里我们将在它的帮助下对跨站点脚本(简称XSS)项目进行测试。

　　首先要确认将ZAP加入你的FoxyProxy代理工具中，安装后启动，让你的火狐浏览器通过FoxyProxy对其网络数据交换进行管理，之后再做一些相关测试。

　　我将ZAP定位于自己的Newscoop3.5版本实验平台上，因为目前Newscoop的3.5.1版本被开发商披露与本工具不兼容。

　　在查看某个应用程序之后，ZAP的用户界面将自动被添加进访问过的网页中去。这时右击newscoop，然后选择"蜘蛛"选项。这一操作将会根据我们当前访问的权限抓取所有网页。我一般会通过分析来调整自己的扫描策略，以避免不必要的检查，然后再选择开始扫描来对那些选定的应用程序进行评估。图二展示了Newscoop所发现的XSS错误。

　　图二 - ZAP>

　　我非常欣赏ZAP在进行扫描操作时所表现出来的抓取能力，因此它占据了我最喜爱的代理工具中的第二位，仅次于Burp。