一、写在前面在软件工程课程中老师反复强调一个观点安全漏洞的本质往往是软件工程实践的系统性失败。也就是说很多漏洞的产生根源不在于某个具体的代码错误而在于整个软件的设计、架构、开发流程中存在系统性问题。本次作业要求我们选择一款开源安全软件通过逆向工程的方式复原其软件架构、设计决策和工程实践。我选择了OWASP ZAPZed Attack Proxy——全球最流行的Web应用安全扫描器之一。本文记录了我从零开始分析ZAP源码、绘制UML图、理解其设计模式的全过程希望能给同样在学习软件工程的同学一些参考。二、为什么选择ZAP在四个候选项目中ZAP、Snort、YARA、Zeek我最终选择了ZAP原因很简单考量因素ZAP的特点文档完善度OWASP旗舰项目官方文档非常详细技术栈熟悉度使用Java Swing对我来说更容易上手架构清晰度扩展加载器 插件机制分层明确实际操作性图形界面运行后能直观看到扫描过程事实证明这个选择是对的。ZAP的代码结构比我想象中要规范尤其是extension包下的扩展机制很好地体现了插件化设计的思路。三、环境搭建与功能验证3.1 安装过程按照官方文档ZAP提供两种安装方式安装包方式下载.exe直接安装我选了这个源码编译方式用Gradle构建安装完成后双击启动底部状态栏显示Proxy: localhost:8080说明代理服务启动成功。3.2 测试靶场选择测试靶场是最难找的环节——很多在线靶场已经关停了。最后我找到了一个依然可用的http://demo.testfire.netSecurity Innovation公司提供的演示应用。3.3 执行主动扫描操作步骤很简单启动ZAP点击手动浏览输入靶场地址ZAP自动打开配置好代理的浏览器浏览几个页面让ZAP记录URL右键点击目标 → 攻击 → 主动扫描等待扫描完成查看警报选项卡扫描结果让人惊喜——确实扫出了SQL注入、XSS、缺少安全头等多种漏洞。3.4 遇到的坑Java版本问题第一次启动提示Java版本过低检查发现是1.8需要升级到JDK 11测试靶场失效原本推荐的testphp.vulnweb.com已无法访问花了些时间才找到替代的demo.testfire.net四、系统功能建模UML图4.1 用例图通过分析ZAP的实际功能我绘制了以下用例图用例功能说明证据来源主动扫描主动发送攻击请求检测漏洞任务1实际操作被动扫描分析代理流量发现安全问题ZAP官方文档生成报告导出扫描结果为HTML任务1实际操作管理会话保存/加载扫描会话ZAP菜单功能插件管理安装/更新扩展插件插件市场功能用例关系主动扫描include被动扫描生成报告extend主动扫描4.2 体系结构图ZAP采用分层模块化架构核心模块包括模块职责推断依据GUI用户图形界面技术栈明确使用Swing扩展加载器动态加载插件官方架构文档描述扫描引擎漏洞检测核心任务1主动扫描功能代理核心HTTP/HTTPS代理ZAP前身为Paros Proxy模块依赖关系GUI → 扩展加载器 → 扫描引擎 → 代理核心五、核心设计复原5.1 典型场景主动扫描选择这个场景是因为它最典型、调用链最完整。我从源码中找到了6个核心类类名文件路径职责ExtensionActiveScanascan/ExtensionActiveScan.java主动扫描扩展入口ActiveScanascan/ActiveScan.java扫描任务管理ActiveScanControllerascan/ActiveScanController.java扫描控制器ActiveScanAPIascan/ActiveScanAPI.javaAPI接口层HostProcessscanner/HostProcess.java单主机扫描处理器Pluginscanner/Plugin.java扫描插件接口5.2 序列图基于以上类我绘制了主动扫描的序列图核心调用链用户 → ActiveScanAPI → ExtensionActiveScan → ActiveScanController → ActiveScan → HostProcess → Plugin5.3 三个核心类分析类1ActiveScanAPI职责REST API入口接收扫描请求设计模式外观模式简化调用接口类2HostProcess职责处理单个主机的扫描管理插件执行队列设计模式模板方法模式run()定义扫描框架类3Plugin职责定义扫描插件接口设计模式策略模式不同插件实现不同检测策略5.4 设计模式总结设计模式应用位置作用外观模式ActiveScanAPI简化API调用模板方法模式HostProcess.run()定义扫描流程框架策略模式Plugin接口不同插件不同检测策略观察者模式ScannerListener扫描进度通知UI六、Git协作实践作业要求模拟两人协作但我只有一个人所以采用一人模拟两人协作 AI结对的方式。6.1 仓库结构security-analysis-zap/ ├── src/ # 核心类代码片段 ├── doc/ │ ├── demo/ # 演示视频 │ ├── diagrams/ # UML图源文件 │ └── report/ # 最终报告6.2 分支模型master稳定版本组长维护dev开发分支组员提交6.3 提交历史通过使用不同的提交信息风格模拟了两个人的协作。七、与AI结对真实的体验与反思7.1 我是怎么和AI配合的这次作业全程和DeepSeek结对AI扮演的是领航员角色遇到卡点时直接问主动扫描的核心调用链是什么序列图怎么画AI给出起点后我去源码里验证确认正确性反复迭代调整UML图、优化代码片段7.2 11 2 吗答案是显著大于2。AI帮我省下了大量找路的时间——原本可能要花一整天梳理的调用关系在AI的辅助下半天就理清了。而且AI随时在线不用等回复遇到问题能立刻得到参考思路。7.3 也有坑AI的答案不一定准推荐的类名在源码里找不到后来我养成习惯——AI说的都去验证一遍容易钻牛角尖一个人容易在细节上纠结太久后来学会先完成再优化7.4 量化评估我用Mermaid生成了两个图表来量化协作效果任务完成分布饼图任务3系统建模30%任务4核心设计30%任务1环境搭建20%任务2Git协作15%任务5过程反思5%协作能力雷达图代码规范8/10设计能力7/10沟通主动性7/10问题解决7/10知识传递6.5/10八、从软件工程视角看ZAP8.1 架构亮点插件化设计通过扩展加载器实现功能动态加载核心与扩展解耦分层清晰表现层 → 业务逻辑层 → 核心层职责明确设计模式应用得当外观、模板方法、策略、观察者各司其职8.2 可改进之处类职责过重ActiveScan承担了太多职责可以进一步拆分UI与核心耦合部分UI代码直接依赖核心类不够解耦文档滞后部分官方文档链接已失效需要从源码和Wiki补全九、写在最后这次作业让我深刻体会到读懂一个开源项目不是把每一行代码都看一遍而是理解它的骨架和设计思路。ZAP的源码规模很大几十万行但通过自顶向下的方法——先看官方文档再运行起来跟踪核心流程最后聚焦2-3个关键包——还是能够快速建立整体认知。如果你也在学习软件工程或者对开源安全工具感兴趣希望这篇文章对你有帮助。博客互动欢迎在评论区留言讨论也欢迎点赞转发~