Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ

前提：

下载安装包，我已经放在了百度网盘中版本为windowsX64 2.7.0，有需要的可以去地址下载：https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ

由于ZAP工具是基于java的，所以电脑必须安装并配置jdk环境，我安装的是1.8.0；

安装和使用：
安装包是.exe的，一路Next即可，打开后样子如下：

我是在本机搭建了测试环境，本机即站点，所以要设置浏览器代理和ZAP代理，同时设置为127.0.0.1，端口号一致即可；

ZAP设置代理： 工具》选项

然后选择 Local Proxies，输入ip地址和端口号，点击OK按钮 即可；

在浏览器中进行访问本站点的网址（不可以写localhost或者127.0.0.1，要写对应的ip地址）并登陆，ZAP就可以抓到包；

在登陆url中右键，选择 Fuzz...

将需要替换的文本替换为字典后，点击 Start Fuzzer按钮，就开始进行了暴力破解；

暴力破解完成后，可以对响应的body体进行排序，一般情况下都是错误的返回，大小一致，找到不一样大小响应的请求，即为正确的用户和密码；