我尝试了下面的命令 docker pull owasp/zap2docker-weekly
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weeklyzap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.con
浏览 63提问于2021-07-08得票数 0
是否有一种方法可以使用docker run -i owasp/zap2docker-stable zap-api-scan.py告诉zap扫描,在扫描过程中要从我的graphql模式中命中哪些查询和/或突变,哪些要排除在扫描之外,还是需要设置我的模式文件以只包括我想要扫描的内容?我的问题是,我试图扫描
浏览 6提问于2022-10-14得票数 0
1回答
GitLab中的自动安全测试
、、、、
我正试图在我的GitLab项目中实现自动化。我认为一种方法可以是将它们作为YML文件中的“变量”传递,并在ZAP命令中使用它们作为参数,如下所示(见下文)。
这是否一个合理的解决办法?是否有其他方法在
浏览 5提问于2019-12-12得票数 1
回答已采纳
背景:通过在服务器本身上将ZAP作为代理运行,我以无头模式创建了带有守护进程的会话文件(因此,我们的测试团队进行了详尽的测试,而不要求他们全部更改代理设置)。现在,在将这些会话文件复制回我的计算机后,我可以打开图形用户界面,做文件->打开会话--这增加了我的网站和所有目标。我现在可以右击它并做“攻击->活动扫描”。因此,问题是:=>如何从CLI中实现相同的操作?ie:基于这些会话文件在CLI上运行一个“活动扫
浏览 0提问于2021-02-23得票数 0
当我按照的描述启动zap.sh时,我正在尝试设置配置。docker run -p 8090:8090 -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 -config api.key:\/\/example\.com).*).$'
但是当我开始扫描的时候,比方说google.com。/google.com | TestP
浏览 49提问于2017-07-12得票数 0
1回答
我浏览了OWASP ZAP,我发现ZAP需要web应用程序的端点。但是,我仍然试图提供我们的微服务的REST API的URL,但是我得到了404错误。我认为OWASP ZAP在HTTP GET方法上扫描,不允许POST方法或其他方法。下面是ZAP的截图:Link to the screenshot of ZAP 我知道有一篇文章是关于rest <
浏览 31提问于2019-01-24得票数 0
回答已采纳
使用以下命令在守护进程模式下启动ZAP代理扫描时,如何排除特定URL:我是否可以设置任何参数或配置参数来排除某些URL?我使用的是正式的码头图像owasp/<e
浏览 0提问于2019-10-04得票数 3
回答已采纳
我正在使用OWASP ZAP来扫描web应用程序。扫描后,我可以将获得的警报导出为PDF文件。此PDF文件仅包括警报。问题是,在扫描应用程序时,我能否获得所有通过和失败的测试的完整列表?我知道我可以使用ZAP的API来获取所有的扫描规则,但这并不是我真正需要的。我需要一份报告,显示所有通过和失败的测试。如下所示:
浏览 2提问于2020-07-04得票数 2
我正在尝试对我的API进行身份验证,以便使用OWASP执行一些被动/主动扫描。
我没有任何Swagger或OpenAPI规范,但我有一些可能有用的HTTP测试(Javascript)。但是,我不知道如何使用ZAP验证我的API。如何使用OWASP对API进行身份验证?如何重用在其他HTTP请求中用作头的JWT令牌?是否可以模仿我在HTTP集成测试中所做的工作,让Z
浏览 5提问于2021-03-09得票数 1
下午好,亲爱的社区,为了验证包含4个API调用的脚本,所有这些API调用都是相互依赖的。auth_script.png
因此,基本上zap需要执行此脚本(所有四个API调用),获取cooki
浏览 17提问于2019-03-28得票数 0
我想使用OWASP扫描API。API post请求的数据格式是JSON,但是设置zap的输入向量不会在post请求中模糊JSON数据。在用户定义的向量中设置它之后,我将在post请求中对参数进行模糊处理。但是,我无法从API文件中找到相应的信息。最好的方法是什么
浏览 1提问于2022-08-05得票数 0
1回答
最初,我尝试通过ZAP验证API。导入Swagger.json并运行活动扫描。在尝试使用ZAP API扫描停靠器映像时,我会收到警告,如--这可能表示应用程序未能正确处理意外输入。由“”脚本引发 -v $(pwd):/zap/wrk/:rw -t o
浏览 3提问于2021-07-14得票数 0
1回答
我设置了Azure devops /CD构建,它将启动vm,其中Owasp Zap作为代理运行,Owasp zap Azure devops任务将在目标url上运行,并在Azure存储中复制我的报告。遵循这个家伙的美丽教程: (也是创建Azure任务的人)
一切都很好,但最近我想用REST作为目标url。天蓝色天井中的Owasp任务没有这个能力。(首先是在Azure内部,但这并不顺利, ),最后进入本教程(
浏览 1提问于2019-01-08得票数 2
回答已采纳
我试图对一个API运行ZAP扫描,但是当我运行下面的命令时,我得到了错误“无效选项v:选项-v不被识别的”:
docker run -t owasp/zap2docker-weekly zap-api-scan.py我想要生成扫描报告并转储到同一个目录。我的理解是,命令-v $(pwd):/zap/wrk/:rw会将docker映像中的&#
浏览 4提问于2021-10-08得票数 0
回答已采纳
当使用docker run -t owasp/zap2docker-stable zap-baseline.py -t https://10.1.2.3/zapwave启动扫描时,爬行器将返回到根URLhttps://10.1.2.3,并继续扫描超出作用域的项。eg /ghost, /mono, /webgoat
是否可以将扫描范围限制在指定的目录或以下?本例<e
浏览 7提问于2020-02-04得票数 1
回答已采纳
我正在尝试使用OWASP ZAP对应用程序的Swagger API (OpenAPI)定义进行主动扫描。基本上,我需要使用自动化工具(当然不是手动工具)测试应用程序的API端点,因为使用不同的有效负载和大型API手动测试将花费大量时间。在执行活动扫描之前,我已经配置了ZAP上下文,从URL/文件加载了API定义,然后在上下文中确保选择了正确的用户凭据。这
浏览 44提问于2019-09-09得票数 0
1回答
我正在使用OWASP扫描工具使用它的API。我对我的网站进行了一次主动扫描,它创建了四个警报。然而,几分钟后,在第二次运行时,它返回了0条警报。它似乎在某个地方保存了早期的警报,并且只查找新的警报。我的问题是,如何重置ZAP以便重新启动扫描,而不知道先前的扫描结果。非常感谢。
浏览 13提问于2018-01-16得票数 0
回答已采纳
当通过OWASP工具触发命令时,我们需要知道后端命令是如何工作的。
活动扫描发生,结果出现在历史选项卡中。现在的要求是,当用户单击ZAP工具中的“活动<
浏览 16提问于2022-09-22得票数 -1
1回答
Owasp中基于头的认证
、、、、
我正在尝试实现Owasp Zap扫描。但是我无法找到用于头身份验证的脚本。如何为密钥值对添加标头身份验证,例如key =api-key value = 123 baseline.py \
浏览 2提问于2020-09-29得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
