อันดับแรก ดาวน์โหลดโปรแกรมมาติดตั้งบนเครื่องคอมพิวเตอร์ได้จากเว็บ https://www.zaproxy.org จากนั้นมาเริ่มเปิดใช้โปรแกรมกันเลย
คำเตือน!! ควรทำการ Scan ในเว็บไซต์ที่เราเป็นเจ้าของ หรือได้รับอนุญาตแล้วเท่านั้น
เมื่อเปิดใช้งานครั้งแรก โปรแกรมจะถามเราว่าจะบันทึก Session การสแกนไว้หรือไม่ จากนั้นกด Start
**แนะนำให้เลือกบันทึกเอาไว้เพื่อมาตรวจสอบในภายหลังได้
Automated Scan
- ใน Panel Quick Start คลิ๊กเลือก Automated Scan
2. ระบุ Url ที่ต้องการสแกนลงในช่อง URL to Attack จากนั้นกดปุ่ม Attack ด้านล่าง และรอจนการสแกนเสร็จสิ้นทั้งหมด
Manual Explore
- ใน Panel Quick Start คลิ๊กเลือก Manual Explore
2. ระบุ Url ที่ต้องการเริ่มต้นเข้าไปสแกนลงในช่อง URL to explore จากนั้นกดปุ่ม Launch Browser
3. เมื่อปรากฎ Web Browser ของ ZAP ขึ้นมา ทำการคลิ๊กเข้าไปแต่ละหน้าที่ต้องการตรวจสอบ จนครบทุก path ที่ต้องการ
4. ใน Panel Sites ด้านซ้าย ทำการระบุ target scope โดยคลิ๊กขวาที่ site ที่เราต้องการสแกน และเลือก Include in Context > Default Context ในช่อง Regex จะปรากฎ site ที่เราเลือกไว้ จากนั้นกดปุ่ม OK
5. ทำการ Spider Scan โดยใน Context Tree คลิ๊กขวาที่ Default Context และเลือก Spider
จากนั้นกดปุ่ม Start Scan แล้วรอจนทำการ Scan เสร็จ
6. ทำการ Active Scan โดยใน Context Tree คลิ๊กขวาที่ Default Context และเลือก Active Scan…
จากนั้นกดปุ่ม Start Scan แล้วรอจนทำการ Scan เสร็จ
ตรวจสอบ Alert
ใน Panel Alerts จะมีรายการช่องโหว่ที่ตรวจพบในระดับต่างๆ สามารถคลิ๊กที่รายการเพื่อดูรายละเอียดในส่วนทางด้านขวาได้
การสร้างรายงาน
เมื่อทำการ Active Scan ครบถ้วนแล้ว สามารถสร้างรายงานได้ที่เมนู Report > Generate Report…
จากนั้นระบุชื่อรายงาน (Report Title) ชื่อไฟล์ (Report Name) โฟลเดอร์ที่จัดเก็บไฟล์ (Report Directory) และคลิ๊กเลือก Site เฉพาะที่เราต้องการ จากนั้นกดปุ่ม Generate Report
