我有一个运行的OWASP Zap工作流,我正在尝试通过添加"-j“来添加ajax扫描,如下所示: uses: zaproxy/action-full-scan@v0.2.0 cmd_options:
浏览 23提问于2021-06-17得票数 0
回答已采纳
希望这是可能的,有人知道它是如何做到的。如有任何资料,将不胜感激。
我试图在Jenkins的同一个工作中运行Selenium和OWASP。本质上,我希望Jenkins启动ZAP,在使用ZAP作为代理时运行Selenium测试,然后使用Selenium提供的位置启动ZAP扫描。显然,我必须首先启动ZAP,让它在Selenium运行时继续运行
浏览 0提问于2018-09-07得票数 2
我正在尝试使用GitHub操作运行OWASP ZAP扫描,并且: name: zapfull-security-scan push: pull_request: build: steps: uses: za
浏览 33提问于2021-05-04得票数 0
回答已采纳
1回答
GitLab中的自动安全测试
、、、、
我正试图在我的GitLab项目中实现自动化。我认为一种方法可以是将它们作为YML文件中的“变量”传递,并在ZAP命令中使用它们作为参数,如下所示(见下文)。
这是否一个合理的解决办法?是否有其他方法在存储库中执行自动扫描</em
浏览 5提问于2019-12-12得票数 1
回答已采纳
我是OWASP ZAP的新手。我在本地主机( localhost,)上的本地主机(localhost,)上使用传统的和AJAX的蜘蛛在标准模式下运行了一次自动扫描。然而ZAP的信息窗口显示了它们:ZAP真的“<em
浏览 9提问于2022-06-25得票数 0
1回答
我设置了Azure devops /CD构建,它将启动vm,其中Owasp Zap作为代理运行,Owasp zap Azure devops任务将在目标url上运行,并在Azure存储中复制我的报告。天蓝色天井中的Owasp任务没有这个能力。甚至问了创建者(),他也不认为这是可以通过Azure任务和仅通过码头。
在我的下一个任务,我现在试图让它运行在一个码头形象。(首先是
浏览 1提问于2019-01-08得票数 2
回答已采纳
我正在努力使Zap在我公司的持续集成工作流程中的使用自动化。我们正在使用gitlab和我想要使用一个对接图像嵌入Zap作为一项服务,并在第一次,只需打电话快速扫描一个合法的目标网站,如itsecgames.com。我使用的是码头映像,它公开了zap.sh作为入口点。如何在gitlab脚本中使用此映像作为服务,以便对itsecgames.com进行快速扫描?zap-scanner: - n
浏览 2提问于2017-06-09得票数 1
我正在使用ZAP Dockerfile image2来扫描应用程序中的漏洞。以下是我的Github操作。uses: docker://owasp/zap2docker-stable args: zap-baseline.py -t https://www.example.com基本上,此映像有一个名为/home/zap/的文件夹,它正
浏览 7提问于2019-11-19得票数 5
回答已采纳
1回答
我正在使用工具OWASP ZAP在asp.net核心web应用程序上运行笔测试。当我使用Owasp ZAP的windows应用程序运行测试时,测试运行得很好,并且给出了结果,但当我尝试使用命令行运行测试时,我看到了这个异常。WinError 10061] No connection could be made because the target machine actively refused it
为什么会发生这种情况,如
浏览 81提问于2021-05-13得票数 1
回答已采纳
1回答
忽略URL CSRF保护
、、、、
我已经在我的Grails应用程序中应用了CSRF Guard。然而,在我的登录页面中,我导入了jquery-1.10.2.min.js库:但是当我运行OWASP Zap来扫描我的应用程序时,它一直收到一个警告: Anti CSRF Tokens Scanner on URL:
CSRF是否有办法忽略此URL并将其标记为受
浏览 0提问于2015-08-27得票数 0
当通过OWASP工具触发命令时,我们需要知道后端命令是如何工作的。
活动扫描发生,结果出现在历史选项卡中。现在的要求是,当用户单击ZAP工具中的“活动扫描”时,需要可视化命令在后台是如何交
浏览 16提问于2022-09-22得票数 -1
1回答
敏捷环境下的漏洞回归测试
、、、、
起点:我们在测试团队中使用了不同的解决方案,以不同的方式测试我们的网站是否存在漏洞。我们自己编写所有的测试用例。在这里,在Python级别。你们是如何建立漏洞回归测试的?何时以及如何部署回归测试?您是否也找到了<em
浏览 0提问于2021-08-13得票数 2
回答已采纳
1回答
我正在尝试了解被动扫描是如何工作的,以及如何在我的用例中应用它。 我在下面演示了我的设置: ? 客户端可以使用基本身份验证或SAML根据代理对自身进行身份验证。所以我的问题是:假设代理在端口A上运行,后端服务在端口B上运行,我希望使用Owasp ZAP被动地扫描所有请求。对于被动扫描,ZAP会话是否需要以任何方式对自身进行身份验证?我知道主动扫描</e
浏览 70提问于2021-06-24得票数 1
回答已采纳
当我按照的描述启动zap.sh时,我正在尝试设置配置。docker run -p 8090:8090 -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 -config api.key:\/\/example\.com).*).$'16818 [Thread-10] INFO org.paro
浏览 49提问于2017-07-12得票数 0
1回答
最近,我尝试在Gitlab CICD管道中实现DAST,但是ZAP无法访问主机。为了保持它的运行,我分离了流程,如构建阶段所示。但是在Dast扫描作业中,ZAP不断地出现这个错误2021-04-22to access: http://172.17.0.3:
浏览 13提问于2021-04-22得票数 1
有没有办法在码头外运行zap-api-scan.py?
我尝试使用下面的步骤成功地在docker之外运行这个python脚本。但是,脚本本身检查它是否在docker中运行,如果没有在docker中运行,则通过zap启动docker。git clone https://github.com/zaproxy/zaproxy.gi
浏览 0提问于2018-11-02得票数 0
回答已采纳
我和OWASP Zap一起工作了很多,我非常满意。尽管如此,我的所有扫描都有问题,我总是在PiiScan区域出现假阳性。除其他外,谷歌的号码,或产品号码被认为是维萨卡号码。如何在Owasp Zap中避免这种情况?
是否有任何设置来获得更好的PiiScann?
浏览 0提问于2021-07-07得票数 0
我试着用把它拉下来:使用“从Docker容器外部访问API”部分中描述的命令运行它:
docker run -p 8090:当我运行docker inspect <CONTAINER ID> | grep IPAddress时,我得到了172.17.0.2 (编辑:我可以运行一次扫描,它需要我将ZAP_SERVER_PROXY此外,我也尝试过用API_K
浏览 1提问于2017-07-11得票数 0
回答已采纳
我试图对一个API运行ZAP扫描,但是当我运行下面的命令时,我得到了错误“无效选项v:选项-v不被识别的”:
docker run -t owasp/zap2docker-weekly zap-api-scan.py我想要生成扫描报告并转储到同一个目录。我的理解是,命令-v $(pwd):/zap/wrk/:rw会将docker映像中的/zap&#
浏览 4提问于2021-10-08得票数 0
回答已采纳
但是,我不知道如何使用ZAP验证我的API。我一直在遵循这个指南:
然后,我在Sessio > Context > Default Context > authentication如何使用OWASP对API进行身份验证?如何重用在其他HTTP请求中用作头的JWT令牌?是否可以模仿我在HTTP集成测试中所
浏览 5提问于2021-03-09得票数 1
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
腾讯云开发者
