我正在尝试使用OWASP ZAP对应用程序的Swagger API (OpenAPI)定义进行主动扫描。在执行活动扫描之前,我已经配置了ZAP上下文,从URL/文件加载了API定义,然后在上下文中确保选择了正确的用户凭据。我测试了一些web和移动应用程序,它们与ZAP完美配合,但我注意到,如果应用程序使用自定义
浏览 44提问于2019-09-09得票数 0
我正在尝试对我的API进行身份验证,以便使用OWASP执行一些被动/主动扫描。
我没有任何Swagger或OpenAPI规范,但我有一些可能有用的HTTP测试(Javascript)。但是,我不知道如何使用ZAP验证我的API。然后,我正确地点击了我的“默认上下文”(我用这个名称创建了它,与ZAP术语无关,它只是一个ZAP上下文),并点击了“活动
浏览 5提问于2021-03-09得票数 1
我尝试了下面的命令 docker pull owasp/zap2docker-weekly
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weeklyzap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.con
浏览 63提问于2021-07-08得票数 0
1回答
在进行身份验证时,我选择了ScriptBasedAuthentication并加载了脚本承载者-Token.js,提供了令牌提供程序URL、API密钥和承载-Token.js中提供的grantType。导入Swagger.json并运行活动扫描。在尝试使用ZAP API扫描停靠器映像时,我会收到警告,如--这可能表示应用程序未能正确处理意外输入。由“
浏览 3提问于2021-07-14得票数 0
下午好,亲爱的社区,为了验证包含4个API调用的脚本,所有这些API调用都是相互依赖的。auth_script.png
因此,基本上zap需要执行此脚本(所有四个API调用),获取cooki
浏览 17提问于2019-03-28得票数 0
1回答
我正在尝试了解被动扫描是如何工作的,以及如何在我的用例中应用它。 我在下面演示了我的设置: ? 客户端可以使用基本身份验证或SAML根据代理对自身进行身份验证。所以我的问题是:假设代理在端口A上运行,后端服务在端口B上运行,我希望使用Owasp ZAP被动地扫描所有请求。对于被动扫描,ZAP会话是否需要以任何方式对自身进行身份验证</
浏览 70提问于2021-06-24得票数 1
回答已采纳
我想使用OWASP扫描API。API post请求的数据格式是JSON,但是设置zap的输入向量不会在post请求中模糊JSON数据。在用户定义的向量中设置它之后,我将在post请求中对参数进行模糊处理。但是,我无法从API文件中找到相应的信息。最好的方法是什么
浏览 1提问于2022-08-05得票数 0
1回答
在ZAP中的NTLM认证
、、、
我正在尝试使用ZAP对REST进行渗透测试。Api使用windows身份验证域\用户名,并在本地托管在特定端口上。首先,我用邮递员做了一个测试,试图连接并提出一个示例请求。我的配置如下所示:我决定在OWASP中复制这个设置。我设置了我的用户:然后在会话属性中设置身份验证选项:和会议管理选项:当tryng在ZAP中执行活动扫描时,我会得
浏览 0提问于2018-08-31得票数 4
1回答
我正在使用OWASP扫描工具使用它的API。我对我的网站进行了一次主动扫描,它创建了四个警报。然而,几分钟后,在第二次运行时,它返回了0条警报。它似乎在某个地方保存了早期的警报,并且只查找新的警报。我的问题是,如何重置ZAP以便重新启动扫描,而不知道先前的扫描结果。非常感谢。
浏览 13提问于2018-01-16得票数 0
回答已采纳
我试着用把它拉下来:使用“从Docker容器外部访问API”部分中描述的命令运行它:但我似乎无法连接到它。当我运行docker inspect <CONTAINER ID> | g
浏览 1提问于2017-07-11得票数 0
回答已采纳
我试图对一个API运行ZAP扫描,但是当我运行下面的命令时,我得到了错误“无效选项v:选项-v不被识别的”:
docker run -t owasp/zap2docker-weekly zap-api-scan.py我想要生成扫描报告并转储到同一个目录。我的理解是,命令-v $(pwd):/zap/wrk/:rw会将docker映像中的/zap&#
浏览 4提问于2021-10-08得票数 0
回答已采纳
我能够扫描我的API使用ZAP桌面,但失败与'url_not_in_context‘错误的活动扫描从zap码头形象。上下文定义从桌面导出,并指定为参数到zap-api-scan.py。我使用zap2docker-稳定的图像来扫描API。加载自定义脚本以进行身份验证。
浏览 14提问于2021-06-08得票数 1
回答已采纳
2回答
我的公司要求我在他们的web应用程序上使用zap进行安全测试。我想知道什么是建议的输入向量来运行最优的主动扫描?我已经尝试过用尽可能多的选项运行几个活动扫描,但它从未完成,因为它在第一步就需要几个小时,而从来没有完成,因为我在晚上让它运行,当我回来的时候它已经停止了。我做了很多研究,我没有印象,我发现的网站停留在解释有关输入向量的主动扫描。在论坛上,人们似乎会通过API更多地谈论输入向量。在我的情况下,通过API会更好吗?
谢谢你的关
浏览 6提问于2020-07-21得票数 1
回答已采纳
我试图导入和扫描Open定义,在我看来,url参数和请求主体没有被真正的数据所取代。是否有一种方法使OWASP能够用真实的数据自动替换这些参数和身体请求?如果没有,还有什么其他最优的解决方案?
浏览 0提问于2020-03-12得票数 1
我在网上找到了大量的说明,尝试了很多不同的方法,但仍然不能让Zap登录到页面进行全面扫描。Password=ZAP&Username=ZAP', 'http://XXX/webui/login/assets',
'http://XXXPassword=ZAP</em
浏览 16提问于2018-12-09得票数 0
我想使用ZAP在无头模式下扫描给定的一组URL。urls,对上下文执行了活动扫描)context/urls/historyimported 导出上下文,它的urls 清除上下文和urls(通过rest-api)performed对导入的上下文进行</
浏览 0提问于2019-12-06得票数 0
在GET方法的响应中,我收到了authenticationendpoint的“Anti-CSRF令牌缺失”ZAP漏洞,因为它不包含响应正文的表单提交标记中的隐藏参数- csrf令牌。引用的WSO2链接:
No known Anti-CSRF token [anticsrf, CSRFToken, __RequestVerificationToken,身份验证端点webapp的web.xml
<?xml version="1.0" encoding="UTF-8"?
浏览 2提问于2020-05-26得票数 1
我正在命令行中使用ZAP (停靠表单)在命令行上运行经过身份验证的扫描,但没有发现漏洞。我要这么做:谢谢你的帮助
浏览 10提问于2022-07-25得票数 0
2回答
我想运行一个自动扫描在一个web应用程序的角度和JSNode。在这个问题上,我可以访问不同类型的帐户。在ZAP OWASP上,我可以选择POST请求,它检测请求中的参数,显示哪个参数对应于登录和密码,然后通知它我可以使用的不同帐户(登录/密码)。由于这一点,它没有问题攻击我的网站,即使令牌过期。但是,我不能复制这个机制,以便在自动扫描期间对自己进行身份验证。有人能给我个建议吗?我发现一些页面似乎描述了这种机制,但我的请求不一样,我遇到了一点麻
浏览 0提问于2020-08-07得票数 1
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号