最近burp的licence到期了，大家都在考虑什么工具，什么不限制时间的bp啊，小提琴啊，花瓶啊，都开始被大家想起来了。不过除了小提琴，貌似都要收费。我突然想起来，还有一个工具，是owasp的zap，不用担心licence，不用担心安全问题（owasp还是比较放心的）。
给大家做一个和bp的常用功能对比图，大家可以在过渡期试试哈。该版本zap为2.7版本。
开始界面

像bp开始界面的这个不知道有多少人在用，我是由于工作原因，需要测试的网站多，所以需要该功能，第一项临时项目，几乎就是等于不保存了，对照owasp zap的功能在下图红色箭头所指处

新建项目（就是bp的第二个），对照为zap的第二项，第一项也可以，但是会用时间戳作为文件名，找起来不方便啊。
代理
先说一下代理吧，毕竟这是第一步要配置的。
Bp的话在这里配置

Zap里面配置在

然后zap还很贴心的出了一个功能，一键启动浏览器，不用配置代理，启动的浏览器直接可以抓包，有内置的JxBrowser，还有本机安装的浏览器，比如，ie、ff、chrome。

请求和响应
抓个包试一下
Bp的请求包和响应包在这里

Zap的请求和响应，在右上角，刚开始换工具，会有点不适应。

爬虫
Bp直接右键就可以让爬虫去爬了，很方便

Zap的爬虫也是右键，在攻击里面

扫描
Bp的扫描是右键host主机

Zap的也是右键host主机，然后在攻击目录中有主动扫描，感觉zap的测试也没有说特别好，仅供参考吧！

由于被动扫描一般扫不出什么功能，所以我也不用，这里就没细说，如有需要请留言。
爆破
Bp中的是直接右键发送到intruder中

具体配置payload，不解释了，大家都懂
Zap的爆破在fuzz里面

和bp一样，添加需要爆破的点。建议先reset一下。
当点完一项的时候，会自动弹出来一个payload选项

一般都用字典爆破，就选文件，如果选多个payload，会自动组合爆破，如果有需求用户名和密码一样爆破的话，目前没找到在哪里可以设置，欢迎一起讨论。

重放
Bp的直接右键发送到repeat即可

Zap的也是直接右键，选择重发送即可


解密Bp中解密的位置，直接将内容发送到decoder中即可

Zap中，在工具选项里面找到编码、解码、哈希，或者选中需要编码或者解码的字符串，右键发送到编码中。

其他部分暂未对比，欢迎大家一起来讨论。