Sử dụng ZAP để quét lỗ hổng bảo mật
Back To Blogs- Dùng ZAP để chặn request từ trình duyệt hoặc Postman
- Phân tích request/response
- Tìm lỗ hổng như XSS, SQLi, Cookie chưa có Secure flag, v.v.
Tải xuống và khởi động
Tại: https://www.zaproxy.org/download/
- Tải bản phù hợp (Windows, macOS hoặc .jar nếu bạn đã có Java)
- Cài đặt và khởi động ZAP
Nếu bạn gặp lỗi Apple could not verify ‘ZAP’ is free of malware that may harm your Mac or compromise your privacy.
thì đây là do OWASP ZAP chưa được notarized (chứng thực) bởi Apple, không phải vì nó chứa virus hay phần mềm độc hại. Đây là cảnh báo mặc định của macOS với ứng dụng từ bên ngoài App Store hoặc chưa ký chứng chỉ từ Apple. Bạn cần xử lý như sau:
- Mở System Settings (hoặc System Preferences).
- Vào mục: Privacy & Security.
- Cuộn xuống cuối, bạn sẽ thấy:❗ "ZAP was blocked from use because it is not from an identified developer."
- Nhấn nút "Open Anyway".
- Xác nhận lại bằng cách nhấn Open ở popup tiếp theo.
Cài đặt proxy cho firefox
Bạn có thể sử dụng firefox làm trình duyệt cho việc kiểm thử, bạn sẽ cần cấu hình như sau:
- Vào Cài đặt → Mạng → Thiết lập Proxy.
- Chọn Proxy thủ công:
HTTP Proxy: localhost
,Port: 8080
. - Tích vào: “Sử dụng cho tất cả giao thức”.

Cài đặt cert cho firefox
Bạn sẽ cần export cert từ ZAP trước:
- Bạn hãy vào phần cài đặt trước.
- Chọn Network → Server Certificates.
- Lưu lại Root CA Certificates.

Tiếp theo bạn sẽ có thể cài chứng chỉ vào trình duyệt Firefox.
- Mở firefox và truy cập vào
about:preferences#privacy
. - Cuộn xuống mục Certificates
- Nhấn nút View Certificates…

- Trong hộp thoại hiện ra, chọn tab Authorities (Vì bạn sẽ thêm CA – Certificate Authority)
- Nhấn nút Import…
- Chọn file
zap_root_ca.cer
bạn vừa lưu - Tick các hộp sau: ✅ Trust this CA to identify websites ✅ (tùy chọn) Trust for email users (không bắt buộc)
- Nhấn OK

Thử quét lỗ hổng 1 trang
- Bạn có thể chọn menu Tools → Active Scan.

- Sau đó điền thông tin scope và nhấn Start scan

- Đợi một lúc và bạn sẽ nhận được kết quả, ví dụ:

Tổng kết
OWASP ZAP là một công cụ miễn phí, hữu ích, hãy sử dụng nó nếu bạn đang nghi ngờ website của bạn có lỗ hổng bảo mật nhé.