前言：

　　渗透测试及防护也是web安全中重要的一环，即使不能及时的对网站进行防护，有了扫描报告也可以应对检查并对问题有了解，zap2docker-stable是用于渗透测试的不错工具，能够生产对网站进行渗透测试并生成报告，使用办法如下：

1.拉取镜像：

docker pull docker.io/owasp/zap2docker-stable  #源在国外，建议用阿里云对docker拉取加速，大概1.3G

2.当前目录下应该包含文件：

[root@my zap]# ls
config  result zap.sh

3.文件内容：

zap.sh文件#!/bin/bash# 加载配置
. ./config# 函数
function scan {docker run --rm -v $(pwd)/result:/zap/wrk/:rw -t $zap_image zap-baseline.py -m 10 -a -t $test_url -w $report_name
}function start {echo "### ZAP Scan start at $(date +'%Y-%m-%d %T') ###"for i in $scan_optionsdoreport_name=${i}-$(date +%Y%m%d%H%M).mdtest_url=$(eval echo '$'"${i}_url")echo "--- Scan $i url ---"#echo $report_name $test_urlscandoneecho "### ZAP Scan end at $(date +'%Y-%m-%d %T') ###"echo
}# 启动
start |tee scan.log

result为文件夹，需要赋予777权限

config文件内容：

zap_image=owasp/zap2docker-stable
scan_options="baidu"
baidu_url=http://www.baidu.com/

4.使用时直接赋予zap.sh就可以在当前目录result/文件夹下生成扫描报告。