使用zap，对web应用/API接口 做安全检测

https://www.zaproxy.org/getting-started/

检测方法

docker pull ghcr.io/zaproxy/zaproxy:stable# 执行baseline测试
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
-t https://baseline.yeshen.org# 执行api测试
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
-t https://api.yeshen.org -f openapi

背景信息

Zed Attack Proxy (ZAP) 由 Checkmarx 开发，是一款免费开源的渗透测试工具。ZAP 专为测试 Web 应用程序设计，兼具灵活性和可扩展性。

ZAP 的核心是一种“中间人代理”（manipulator-in-the-middle proxy）。它位于测试者的浏览器与 Web 应用程序之间，能够拦截并检查两者之间发送的消息，按需修改内容，再将数据包转发至目标。它既可作为独立应用程序运行，也可作为守护进程（daemon process）。

如果当前环境中已存在其他网络代理（如许多企业网络中的情况），ZAP 可配置为连接到该代理。

ZAP 为不同技术水平的用户提供支持——从开发者、到刚接触安全测试的测试人员、再到安全测试专家。ZAP 支持所有主流操作系统和 Docker，因此用户无需局限于单一操作系统。更多功能可通过 ZAP 客户端内置的插件市场（ZAP Marketplace）免费获取。

由于 ZAP 是开源工具，用户可查看其源代码以了解功能的具体实现方式。任何人都能自愿参与 ZAP 的开发，包括修复漏洞、添加功能、提交代码合并请求（pull requests），或为特定场景编写插件。

ZAP 作为一款开源渗透测试工具，通过中间人代理技术帮助用户检测 Web 应用漏洞。其跨平台支持、插件生态系统和开放社区协作特性，使其成为适应不同技能水平用户需求的灵活工具。开源特性进一步增强了工具的可信度和功能扩展潜力。