OWASP ZAP là một công cụ để kiểm thử bảo mật một trang web hoặc API, thông qua cấu hình proxy và kiểm tra request. Bạn có thể
  • Dùng ZAP để chặn request từ trình duyệt hoặc Postman
  • Phân tích request/response
  • Tìm lỗ hổng như XSS, SQLi, Cookie chưa có Secure flag, v.v.

Tải xuống và khởi động

Tại: https://www.zaproxy.org/download/

  • Tải bản phù hợp (Windows, macOS hoặc .jar nếu bạn đã có Java)
  • Cài đặt và khởi động ZAP

Nếu bạn gặp lỗi Apple could not verify ‘ZAP’ is free of malware that may harm your Mac or compromise your privacy. thì đây là do OWASP ZAP chưa được notarized (chứng thực) bởi Apple, không phải vì nó chứa virus hay phần mềm độc hại. Đây là cảnh báo mặc định của macOS với ứng dụng từ bên ngoài App Store hoặc chưa ký chứng chỉ từ Apple. Bạn cần xử lý như sau:

  1. Mở System Settings (hoặc System Preferences).
  2. Vào mục: Privacy & Security.
  3. Cuộn xuống cuối, bạn sẽ thấy:❗ "ZAP was blocked from use because it is not from an identified developer."
  4. Nhấn nút "Open Anyway".
  5. Xác nhận lại bằng cách nhấn Open ở popup tiếp theo.

Cài đặt proxy cho firefox

Bạn có thể sử dụng firefox làm trình duyệt cho việc kiểm thử, bạn sẽ cần cấu hình như sau:

  1. Vào Cài đặt → Mạng → Thiết lập Proxy.
  2. Chọn Proxy thủ công: HTTP Proxy: localhost, Port: 8080.
  3. Tích vào: “Sử dụng cho tất cả giao thức”.
Screenshot 2025-07-04 at 08.56.45.png

Cài đặt cert cho firefox

Bạn sẽ cần export cert từ ZAP trước:

  1. Bạn hãy vào phần cài đặt trước.
  2. Chọn Network → Server Certificates.
  3. Lưu lại Root CA Certificates.
Screenshot 2025-07-04 at 08.59.22.png

Tiếp theo bạn sẽ có thể cài chứng chỉ vào trình duyệt Firefox.

  1. Mở firefox và truy cập vào about:preferences#privacy.
  2. Cuộn xuống mục Certificates
  3. Nhấn nút View Certificates…
Screenshot 2025-07-04 at 08.57.12.png
  1. Trong hộp thoại hiện ra, chọn tab Authorities (Vì bạn sẽ thêm CA – Certificate Authority)
  2. Nhấn nút Import…
  3. Chọn file zap_root_ca.cer bạn vừa lưu
  4. Tick các hộp sau: ✅ Trust this CA to identify websites ✅ (tùy chọn) Trust for email users (không bắt buộc)
  5. Nhấn OK
Screenshot 2025-07-04 at 08.57.28.png

Thử quét lỗ hổng 1 trang

  1. Bạn có thể chọn menu Tools → Active Scan.
Screenshot 2025-07-04 at 10.26.54.png
  1. Sau đó điền thông tin scope và nhấn Start scan
Screenshot 2025-07-04 at 10.27.15.png
  1. Đợi một lúc và bạn sẽ nhận được kết quả, ví dụ:
Screenshot 2025-07-04 at 08.42.28.png

Tổng kết

OWASP ZAP là một công cụ miễn phí, hữu ích, hãy sử dụng nó nếu bạn đang nghi ngờ website của bạn có lỗ hổng bảo mật nhé.