Burp Suite具備對報(bào)文攔截、查看、修改等多種操作，使用上靈活方便，算是工具最出彩的一部分功能。

ZAP同樣具備報(bào)文的查看、截?cái)?、修改等功能，但截?cái)嘣侔l(fā)送后等待的響應(yīng)時(shí)間稍微較長，整體不如Burp Suite敏捷。

6. 暴力破解

Burp Suite的爆破功能在Intruder頁簽中完成，這部分可實(shí)現(xiàn)定制化的功能，通過添加payload(XSS，SQLI等等)來實(shí)現(xiàn)一個(gè)自動(dòng)化的攻擊或是密碼爆破。

ZAP的爆破是在Fuzzer中實(shí)現(xiàn)，同樣可對選定參數(shù)添加定制化的字典進(jìn)行大量的攻擊操作，并且Fuzzer中自帶了許多漏洞的payload。

7. 編碼和解碼

Burp Suite中Decoder頁簽可對報(bào)文內(nèi)容進(jìn)行編碼和解碼，支持多種加解密方式。

ZAP中通過選中需要字段，然后右鍵選擇編解碼可對報(bào)文中內(nèi)容記性編碼、解碼、哈希操作。

以上是Burp Suite工具比較具有代表性的功能，并且Burp Suite和ZAP同樣含有豐富的插件，并提供API，開發(fā)者可定制自己的程序。對于漏洞掃描，這三個(gè)工具都具備自動(dòng)化的掃描功能，但是Burp Suite的掃描功能目前不如Appscan全面，因此接下來將主要對比下ZAP與Appscan的掃描功能情況。

二、OWASP ZAP與AppScan Standard

1. 爬蟲

Appscan中將爬蟲操作稱為"探索"，利用網(wǎng)頁發(fā)送和返回的內(nèi)容都是統(tǒng)一的語言 HTML，通過對 HTML 語言進(jìn)行分析，找到里面的參數(shù)和鏈接，記錄并繼續(xù)發(fā)送之，進(jìn)而對網(wǎng)站結(jié)構(gòu)進(jìn)行爬取。

ZAP中支持兩種爬蟲方式，一個(gè)是傳統(tǒng)的爬蟲技術(shù)，另一種是ajax爬蟲。ajax技術(shù)是通過JavaScript來生成鏈接，ZAP的ajax爬蟲通過喚起瀏覽器進(jìn)程來探索Web應(yīng)用，并且會(huì)追蹤動(dòng)態(tài)生成的鏈接。

2. 策略配置

Appscan支持全面的掃描配置，針對不同的掃描目標(biāo)，可配置不同的掃描策略、測試策略。

ZAP可根據(jù)情況自定義掃描策略，策略中包含報(bào)警閥值和攻擊強(qiáng)度兩個(gè)參數(shù)，且可以分別對信息收集、客戶端瀏覽器、服務(wù)器安全、雜項(xiàng)、注入等多各方面分別進(jìn)行配置。

3. 掃描

"掃描規(guī)則庫"、"探索"、"測試"構(gòu)成了AppScan的核心三要素。ZAP支持自動(dòng)掃描和手動(dòng)掃描兩種測試方式，并提供Appscan(Web應(yīng)用)和外部設(shè)備/客戶機(jī)(Appscan作為記錄代理)兩種探索方式。

ZAP支持主動(dòng)掃描和被動(dòng)掃描兩種方式，可根據(jù)測試目標(biāo)情況，選取相應(yīng)的測試方式。被動(dòng)掃描可對所有以代理形式接收到的請求和響應(yīng)報(bào)文進(jìn)行自動(dòng)檢測，它不會(huì)以任何形式改動(dòng)任何反饋信息，可以提供一些基礎(chǔ)的Web安全性信息。主動(dòng)掃描提供自動(dòng)掃描和手動(dòng)掃描兩種方式，會(huì)通過一些預(yù)設(shè)的攻擊來達(dá)到發(fā)現(xiàn)更多漏洞的目的，對于被測目標(biāo)而言，主動(dòng)掃描會(huì)發(fā)起真實(shí)的、可能造成損失的攻擊。

下圖為兩個(gè)工具實(shí)時(shí)記錄掃描進(jìn)度和掃描內(nèi)容。

4. 掃描結(jié)果查看

Appscan工具提供完備的漏洞詳情，包括漏洞類型、數(shù)量、涉及的URL、在報(bào)文的具體位置、問題詳情、修訂建議等，可方便使用者確認(rèn)漏洞是否真實(shí)存在。

ZAP工具在alert(警報(bào))頁簽展示漏洞詳情。所有風(fēng)險(xiǎn)項(xiàng)可以展開，ZAP在右側(cè)窗口會(huì)對該風(fēng)險(xiǎn)項(xiàng)提供說明和解釋，并且在右上部response區(qū)域高亮展示具體風(fēng)險(xiǎn)項(xiàng)由來(從響應(yīng)中分析得出的)。

5. 重放

重放操作是確認(rèn)漏洞是否報(bào)告有誤的有效方式，Appscan可對檢測的漏洞再次進(jìn)行手動(dòng)測試。

ZAP基本具備和Appscan相同結(jié)構(gòu)的重放功能，并且可對報(bào)文進(jìn)行編輯。

綜上可看出，OWASP ZAP工具基本具備Burp Suite和Appscan的主要安全測試功能，但其自身也存在多處不足的地方，相比于Burp Suite，其抓包、改包等滲透測試功能上操作不如Burp Suite靈活多樣;相對于Appscan，其掃描更為輕量，即操作便捷、掃描迅速，然而漏洞挖掘情況不如Appscan更深層，但這一點(diǎn)兒也不影響人們對它的青睞，OWASP ZAP基本可以滿足安全測試所需的功能，并且作為一款免費(fèi)的開源工具，對于學(xué)生黨或者安全入門人員絕對是一個(gè)不錯(cuò)的選擇。