Risposta breve:
No. (almeno non nelle versioni con cui ho lavorato)
Risposta più lunga:
ZAP non è uno strumento di exploitation, è uno strumento di rilevamento delle vulnerabilità. Tuttavia, è possibile eseguire il fuzz con ZAP per determinare se l'iniezione SQL è possibile ma, poiché ha già rilevato una possibile iniezione SQL, il passaggio successivo è lo sfruttamento per verificare se è un vero / falso positivo.
Se si tratta di una valutazione di sicurezza legittima, cosa c'è di sbagliato nell'utilizzare SQLmap o provare a sfruttarlo manualmente?