MCP ZAP Spring Boot Server
2025.04.22
0
Java安全测试自动化工具开发效率
MCP ZAP Spring Boot Server 是一个基于 Docker 的 Spring Boot 应用,将 OWASP ZAP 暴露为 MCP(Model Context Protocol)服务器。它允许任何兼容 MCP 的 AI 代理(如 Claude Desktop、Cursor)协调 ZAP 操作,包括爬虫、主动扫描、导入 OpenAPI 规范以及生成报告。
View on GitHub
Overview
基本能力
产品定位
MCP ZAP Spring Boot Server 是一个安全测试工具,通过 MCP 协议将 OWASP ZAP 的功能暴露给 AI 代理,实现自动化安全测试。
核心功能
- MCP 服务器:将 ZAP 操作暴露为 MCP 工具
- OpenAPI 集成:支持导入远程或上传的 OpenAPI 规范到 ZAP 并启动主动扫描
- 报告生成:生成 HTML/JSON 报告,并支持通过编程方式获取内容
- Docker 化:通过 docker-compose 管理 ZAP 和 MCP 服务器的容器
- 安全性:支持为 ZAP(ZAP_API_KEY)和 MCP 服务器(MCP_API_KEY)配置 API 密钥
适用场景
- 自动化安全测试
- AI 代理驱动的安全扫描
- OpenAPI 规范的自动化安全评估
- 安全报告的生成与获取
工具列表
- ZAP 操作工具:包括爬虫、主动扫描、导入 OpenAPI 规范等
- 报告生成工具:支持生成 HTML/JSON 格式的报告
常见问题解答
- 如何配置 API 密钥:通过环境变量 ZAP_API_KEY 和 MCP_API_KEY 配置
- 如何启动服务:使用 docker-compose 启动 ZAP 和 MCP 服务器
使用教程
使用依赖
- Docker
- docker-compose
安装教程
- 克隆项目仓库
- 构建项目
./gradlew clean build
- 配置 docker-compose 文件
- 启动服务
docker-compose up
调试方式
- 检查日志输出
- 使用 MCP 兼容的 AI 代理(如 Claude Desktop、Cursor)测试服务
{
"mcpServers": {
"security-testing-mcp-server": {
"command": "java",
"args": [
"-Dspring.ai.mcp.server.stdio=true",
"-Dspring.main.web-application-type=none",
"-Dlogging.pattern.console=",
"-jar",
"/PROJECT_PATH/mcp-zap-server/build/libs/mcp-zap-server-0.0.1-SNAPSHOT.jar"
]
}
}
}