打造一个完美的 Web 测验环境

　　在做网站的测验时，抓包扫描必不可少，如何将测验的一切记载保存下载，待后续剖析呢？先来看一个架构图：

　　咱们在测验时，通常会敞开一个 web 署理东西，比方 zap、burp 这些，然后设置浏览器署理为这些东西发动的署理服务，然后咱们运用浏览器拜访的一切网站流量都会通过这些署理东西，然后通过检查署理记载的数据包剖析安全问题。

　　这个东西的效果与 zap、burp 相似，只不过是命令行版而非界面程序，它通用发动署理服务，浏览器设置署理之后，通过的一切流量能够进行记载保存为文件，如图：

　　那么咱们就运用它的这个功用，而且运用 zap 和 burp 都能够设置 upstram 的才能，让咱们拜访一次的流量，分发给不同的程序进行处理，zap：

　　比方最开端的流程图，当咱们在运用 zap+firefox 进行网站测验时，将流量同步给 burp 做缝隙扫描，然后再同步给 proxify 进行记载保存，待后续运用。

　　这儿还能够有其他的方法，比方缝隙扫描能够运用 xray（被迫缝隙扫描器），而人工触发缝隙扫描，能够运用 crawlergo（根据浏览器内核的爬虫） 替代，项目地址：

　　比方用于缝隙检测的东西 sqlmap，dalfox（XSS缝隙扫描东西）：

　　以上便是本文的内容，东西都有它的特性，彼此结合能够大大提高测验功率，那么你的 web 测验环境是什么样的？