试图在网站上自动扫描zap代理。下面是我的流量
创建新会话(/JSON/core/action/newSession/?根据文档“根据给定的URL和/或上下文.运行活动扫描程序”。我的理解是,我可以对上下文运行活动扫描,当提到ContextId时,URL是可选的。但是,当我点击api运行活动扫描时,每个键和contextId /JSON/ascan/action&
浏览 3提问于2020-04-19得票数 1
回答已采纳
我正在尝试使用OWASP ZAP对应用程序的Swagger API (OpenAPI)定义进行主动扫描。基本上,我需要使用自动化工具(当然不是手动工具)测试应用程序的API端点,因为使用不同的有效负载和大型API手动测试将花费大量时间。在执行活动扫描之前,我已经配置了ZAP上下文,从URL/文件加载了API定义,然后在上下文中确保选择了正确的用户凭据。则即使上下文和设置正确,ZAP
浏览 44提问于2019-09-09得票数 0
1回答
更简单的解决方案是为每个应用程序使用HTTP会话cookie来执行这些经过身份验证的扫描,但是,如果不与关联用户创建上下文,则无法看到执行此操作的机制。, token_value, apikey=self.api_key) self.zap.httpsessions.set_a
浏览 6提问于2016-12-13得票数 0
回答已采纳
我想使用ZAP在无头模式下扫描给定的一组URL。urls,对上下文执行了活动扫描)context/urls/historyimported 导出上下文,它的urls 清除上下文和urls(通过rest-api)performed对导入的上下文进行主动
浏览 0提问于2019-12-06得票数 0
我在REST API上运行ZAP API scan script,但我必须在我自己的web服务器上托管Open API规范文件。当我运行扫描时,它会针对规范所在的URL记录警报,我希望将其从上下文中排除。我看到您可以使用以下命令行标志提供上下文文件 -n context_file context file which will be loaded prior to scanning the target我想知道在哪里可以找到上下文文件的格式?
浏览 10提问于2020-11-25得票数 0
回答已采纳
但是,我不知道如何使用ZAP验证我的API。然后,我正确地点击了我的“默认上下文”(我用这个名称创建了它,与ZAP术语无关,它只是一个ZAP上下文),并点击了“活动扫描”。然后什么都不会发生。“包含上下文”不包含任何URL。不过,我只是再次尝试添加我在“身份验证”菜单中指定的URL,然后再尝试使用“活动扫描”,结果什么都没有发生。无论如何,我在ZAP
浏览 5提问于2021-03-09得票数 1
1回答
我计划使用ZAP CLI自动执行整个ZAP扫描。 ZAP使用上下文进行基于表单的身份验证。可以使用ZAP轻松地手动创建此上下文。但是我需要自动化这个上下文创建,以便可以使用自动化扫描任何具有表单身份验证的应用程序。 有没有什么办法/变通方法可以这样做?How to create ZAP context using ZAP UI 提前谢谢。
浏览 48提问于2021-03-18得票数 0
回答已采纳
1回答
我通过Zap代理我的UI测试来自动化安全扫描。对于每次安全扫描运行,将创建新的zap会话并代理请求。在我们的应用程序中,登录api响应中的访问令牌是在authentication头中设置的,用于身份验证。当我通过zap代理我的测试时,报头也会与请求有效负载、url等一起记录并存储在ZAP中。如果
在活动扫描期间,由zap记录的令牌以及请求仍然有效(未过期或未过期的令牌被排除在ascan攻击向量(这是默认设置)之外。我假设我可以在api
浏览 4提问于2020-07-02得票数 0
回答已采纳
下午好,亲爱的社区,为了验证包含4个API调用的脚本,所有这些API调用都是相互依赖的。auth_script.png
因此,基本上zap需要执行此脚本(所有四个API调用),获取cookie并将其用于进一步的活动扫描。但是,当我启动我的活动扫描</em
浏览 17提问于2019-03-28得票数 0
背景:通过在服务器本身上将ZAP作为代理运行,我以无头模式创建了带有守护进程的会话文件(因此,我们的测试团队进行了详尽的测试,而不要求他们全部更改代理设置)。我现在可以右击它并做“攻击->活动扫描”。
因此,问题是:=>如何从CLI中实现相同的操作?ie:基于这些会话文件在CLI上运行一个“活动扫描”?
浏览 0提问于2021-02-23得票数 0
我能够扫描我的API使用ZAP桌面,但失败与'url_not_in_context‘错误的活动扫描从zap码头形象。上下文定义从桌面导出,并指定为参数到zap-api-scan.py。我使用zap2docker-稳定的图像来扫描API。加载自定义脚本以进行身份验证。2.10.0jar:2.10.0~zap-2.10.0.jar:2.10.0 at org.zaproxy.
浏览 14提问于2021-06-08得票数 1
回答已采纳
我试图在使用身份验证的网站上使用OWASP运行基线扫描。它使用基于JSON的身份验证。但是当我运行它时,我从结果中看到它没有登录。我是这样运作的:
单击按钮打开“强制用
浏览 0提问于2019-08-05得票数 0
回答已采纳
是否有一种方法可以使用docker run -i owasp/zap2docker-stable zap-api-scan.py告诉zap扫描,在扫描过程中要从我的graphql模式中命中哪些查询和/或突变,哪些要排除在扫描之外,还是需要设置我的模式文件以只包括我想要扫描的内容?我的问题是,我试图扫描的模式是巨大的。我只想扫描大约200个突变中的15个.类似于:
docker run -i owa
浏览 6提问于2022-10-14得票数 0
我正在使用python ZAP api (ZAPv2)编写一个自动化脚本来扫描我们的站点并生成警报报告,现在我还集成了python nmap来扫描我们的站点 但是,如果nmap有一些扫描问题,我希望将此类问题添加到ZAP警报报告中 有没有办法做到这一点?ZAP api是否公开服务来添加警报?就像这样: z.core.add_alert(....) 谢谢
浏览 9提问于2019-04-03得票数 1
回答已采纳
我们使用python selenium和OWASP ZAP API自动扫描站点。最后,我们将使用下面的代码来生成html问题报告。file1.write(zap.core.htmlreport(apikey=apikey)) 唯一的问题是,报告包含太多不必要的URL,如googleapis、facebook、typekit等。我们真的想排除这些URL,我们创建一个新的ZAP上下文,并尝试排除这些URL,如下所示: z.context.exclude_from_context(contex
浏览 14提问于2018-12-25得票数 0
回答已采纳
我试图对一个API运行ZAP扫描,但是当我运行下面的命令时,我得到了错误“无效选项v:选项-v不被识别的”:
docker run -t owasp/zap2docker-weekly zap-api-scan.py我想要生成扫描报告并转储到同一个目录。我的理解是,命令-v $(pwd):/zap/wrk/:rw会将docker映像中的/zap/wrk/目录映射到
浏览 4提问于2021-10-08得票数 0
回答已采纳
1回答
我已经手动遍历了所有的URL (GET/POST请求),我需要ZAP扫描。但是,在整个站点扫描过程中,会话总是会丢失。当我试图只扫描在网站面板上列出的一些URL(在那里你可以看到一个URL列表),我多选择我的目标,右击,在菜单中选择“攻击”,然后在子菜单中所有的项目都是灰色的。
浏览 2提问于2020-10-19得票数 0
回答已采纳
1回答
GitLab中的自动安全测试
、、、、
为了执行安全扫描,我想使用ZAP来检查项目中的所有URL并扫描它们。手动通过所有URL显然是不可能的,所以我正在设法使所有测试尽可能自动化。这是否一个合理的解决办法?是否有其他方法在存储库中执行自动扫描(而不手动传递URL)?谢谢 OWASP_CONTAINER: $APP_NAME-$BUILD_ID-OWASP
OWA
浏览 5提问于2019-12-12得票数 1
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
