网站渗透测试工具zap2docker-stable

前言：

　　渗透测试及防护也是web安全中重要的一环，即使不能及时的对网站进行防护，有了扫描报告也可以应对检查并对问题有了解，zap2docker-stable是用于渗透测试的不错工具，能够生产对网站进行渗透测试并生成报告，使用办法如下：

1.拉取镜像：

docker pull docker.io/owasp/zap2docker-stable  #源在国外，建议用阿里云对docker拉取加速，大概1.3G

2.当前目录下应该包含文件：

[root@my zap]# ls
config  result zap.sh

3.文件内容：

zap.sh文件

#!/bin/bash

# 加载配置
. ./config

# 函数
function scan {
    docker run --rm -v $(pwd)/result:/zap/wrk/:rw -t $zap_image zap-baseline.py -m 10 -a -t $test_url -w $report_name
}

function start {
    echo "### ZAP Scan start at $(date +'%Y-%m-%d %T') ###"
    for i in $scan_options
    do
        report_name=${i}-$(date +%Y%m%d%H%M).md
        test_url=$(eval echo '$'"${i}_url")
        echo "--- Scan $i url ---"
        #echo $report_name $test_url
        scan
    done
    echo "### ZAP Scan end at $(date +'%Y-%m-%d %T') ###"
    echo
}

# 启动
start |tee scan.log

result为文件夹，需要赋予777权限

config文件内容：

zap_image=owasp/zap2docker-stable
scan_options="baidu"
baidu_url=http://www.baidu.com/

4.使用时直接赋予zap.sh就可以在当前目录result/文件夹下生成扫描报告。