工作上剛好用到OWASP ZAP，採了幾個坑以後，決定把它紀錄下來，希望哪天要用到誰(也許是我)可以快速上手，下面就開始來說明啦~

OWASP ZAP掃描工具安裝與說明

什麼是OWASP ZAP

OWASP Zed Attack Proxy (簡稱ZAP) 於2010年9月從 Open Web Application Security Project (OWASP)開發，是一個知名的網頁程式漏洞檢測工具，免費且開源，屬於黑箱滲透測試。

安裝步驟

1. 安裝檔下載：https://www.zaproxy.org/download/
   • 目前OWASP ZAP的最新版(ZAP 2.12.0)需搭配java 11(參考資料)
   • 若Java預設版本不對，開啟安裝檔則會跳出訊息，可以按locate指定其他java版本位置(Bin資料夾)
2. 執行安裝步驟，完成後開啟OWASP ZAP，若出現"This Application requires a Java Runtime Environment..."
   
   有可能是使用OpenJDK等原因導致版本找不到，請到安裝目錄下找到zap.bat(通常預設在‪C:\Program Files\OWASP\Zed Attack Proxy\zap.bat)，並改寫指令，將最後一行的java換成你的java.exe位置，例如：

   C:\openjdk11\jdk-11.0.2\bin\java.exe %jvmopts% -jar zap-2.12.0.jar %*
   

   此後都用zap.bat啟動OWASP ZAP，就會完成後續的安裝步驟了並開啟了。
   • 參考資料

執行掃描

1. 進入後會跳出提示框詢問是否儲存之後的掃描內容到暫存檔，請根據需求選擇。
   
2. 點選中間的Automaed Scan，進入Quick Start頁面，設定Url to Attack選項，按下Attack即可進行黑箱掃描。
3. 完成後下方就會列出掃描結果。

產生報告

1. 點選工具列的Report > Genarate Report...，可以設定匯出位置等等，其中Report Title和Description會顯示在匯出的報告中。
2. 切換到Template頁籤，更改Template可以選擇要匯出報告的檔案類型。
3. 如果有客製報告的需求，請參考官網Creating Reports，他允許我們使用Thymeleaf templating engine創建自己的報告，透過修改%USERPROFILE%\OWASP ZAP\reports目錄下的各種report檔，可以接上官網提供的API客製產出的報表格式
   • 例如想客製化pdf報表，可以修改%USERPROFILE%\OWASP ZAP\reports\traditional-pdf\report.html

其他問題

• 在掃描中出現Failed to start/cnnect to '...', is the browser available/Supported?：官網的詳細說明
  
  1. OWASP ZAP在掃描時會模擬瀏覽器執行，在掃描前的設定Use ajax spider可以設定標頭，請使用已安裝的瀏覽器。
  2. 如果瀏覽器太新也會不支持，因為他需要對應的webdriver和Selenium去啟動瀏覽器，但瀏覽器的更新很頻繁，所以你可以上網找更新的webdrivers，例如Chrome最新的ChromeDriver，放到%USERPROFILE%\OWASP ZAP\webdriver\windows\64\裡把原本的webdriver取代掉，重開OWASP ZAP再試一次，又或者是想辦法降低本機瀏覽器的版本
• 所有錯誤都會記錄在%USERPROFILE%\OWASP ZAP\zap.log裡