文章总结： ZAP团队发布OWASPPTK插件0.2.0，将渗透测试工具包集成至ZAP浏览器。该插件内嵌DAST、IAST、SAST、SCA及JWTCookie编辑器，无需手动配置。用户通过ZAP代理启动浏览器即可利用PTK进行运行时扫描、脚本分析及流量重放。此组合特别适合单页应用，利用ZAP代理与PTK原生工具实现了对动态应用的高效上下文感知测试。 综合评分： 82 文章分类： 渗透测试,WEB安全,安全工具,产品介绍

ZAP 发布 OWASP PenTest Kit 浏览器扩展，用于应用程序安全测试

Khan安全团队

2026年1月27日 18:44 海南

Zed Attack Proxy (ZAP) 团队发布了 OWASP PTK 插件，版本 0.2.0 alpha，将 OWASP渗透测试工具包 (PTK) 浏览器扩展程序直接集成到 ZAP 启动的浏览器中。

该插件无需手动设置即可嵌入 DAST、IAST、SAST、SCA 以及 JWT 和 Cookie 编辑器等专用工具，从而简化了应用程序安全测试。该插件可通过 ZAP Marketplace 获取，它会在通过 ZAP 代理的 Chrome、Edge 和 Firefox 会话中预安装 PTK。

用户从 ZAP 应用商店安装 OWASP PTK 插件，然后通过 ZAP 的功能启动受支持的浏览器。PTK 图标会立即出现，允许用户登录目标网站并启动扫描。ZAP 负责流量捕获、站点树、历史记录和会话管理，而 PTK 则提供浏览器原生测试工具。

PTK 的 DAST 可在正常浏览期间进行运行时扫描：开始扫描、浏览表单和管理页面等关键流程、停止扫描并查看结果。

该工具非常适合依赖用户交互的单页应用程序 (SPA)，它建议调整每秒请求数和并发数以确保生产环境的稳定性，并严格限定域范围以最大限度地减少干扰。该工具的分析结果可与 ZAP 集成，以便通过请求工具进行重新测试。

IAST 监控浏览器运行时行为，在扫描过程中注入代理，以检测响应分析之外的信号。启动监控，浏览已认证的路由，然后对 DOM 变更和客户端渲染问题进行分类。

这款产品在依赖 UI 状态的应用程序中表现出色，能够为在浏览器工作流程中进行渗透测试的人员提供快速的上下文信息。

SAST 分析生产环境中加载的内联脚本和外部脚本，无需代码库访问权限即可发现脚本的调用点和模式。它可在当前页面上运行，并将分析结果与 DAST/IAST 进行比对验证，尤其适用于单页应用 (SPA) 中的第三方脚本。SCA 则通过 ZAP 上下文审查软件包的加载行为，揭示运行应用程序的依赖风险。

请求构建器可实现快速迭代：编辑 ZAP 历史记录中的流量、重放攻击、克隆为cURL或操作标头。JWT 工具可解码令牌、修改声明/算法，并测试诸如 exp 或弱 HMAC 之类的强制执行机制，并通过 ZAP 重放以比较响应差异。Cookie 工具支持编辑、阻止或导出 Cookie，以便重现会话。

实际操作流程从 ZAP 代理浏览器登录开始，然后进行 PTK DAST/IAST（流量期间）、SAST/SCA（静态信号）和 JWT/cookie 验证。

此组合利用 ZAP 作为代理中心，并结合 PTK 进行定向浏览器测试，从而增强对现代 Web 应用的覆盖范围。重点在于基于权限的主动扫描和保守的设置。

该版本于2026年1月19日发布，标志着ZAP-PTK协同发展的一个里程碑，该协同发展离不开Denis Podgurskii的贡献。渗透测试人员将能够对经过身份验证的动态应用程序进行高效、上下文感知的测试。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《ZAP 发布 OWASP PenTest Kit 浏览器扩展，用于应用程序安全测试》