1.ZAP是什麼？
ZAP全名是ZAP Attack Proxy，由OWASP維護，是一款自動化弱點掃描工具，可以針對網站做安全測試。

2.ZAP安裝
我是Mac使用者，需安裝相對應版本，但無法直接開啟，必須先到設定允許開啟，才能順利打開。

3.實作
開始掃描網站之前，要先選擇網站，因為不能直接掃描真實網站，所以我用chat GPT給我一個測試網站，接著就能開始掃描了。掃描過程中，有遇到一些問題，我電腦裡沒有安裝Firefox，導致一直掃描失敗，後來試了好幾次，還是一直失敗，便選擇了跳過瀏覽器直接搜尋並掃描，前期試了好幾次，都有完成掃描，但掃描不到Alerts，詢問了chat GPT才知道可以直接點擊Sites裡的網址直接掃描，最後才有跑出New Alerts，點進Alert裡看，就可以看到漏洞在哪裡，像是SQL Injection等，也會分析風險、信心、參數、攻擊、證據等，能清楚了解漏洞問題。

（掃描成功圖檔）

（弱點分析）

心得：
其實使用ZAP掃描網站弱點對初學者來說，算是很友善的了，很方便上手，但千萬要注意不能用真實網址，且感覺用Mac電腦會比較複雜一點點，因為系統對於安全性很嚴謹，瀏覽器除了Safari，其他都需要另外安裝，因此在硬體設備限制上會比較繁雜，漏洞分析也顯示很完整，能快速了解。