docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py \
-t https://www.example.com-g gen.conf -r testreport.html 我需要为每个http请求添加一个http<
浏览 61提问于2021-01-11得票数 0
回答已采纳
1回答
GitLab中的自动安全测试
、、、、
我正试图在我的GitLab项目中实现自动化。我认为一种方法可以是将它们作为YML文件中的“变量”传递,并在ZAP命令中使用它们作为参数,如下所示(见下文)。varia
浏览 5提问于2019-12-12得票数 1
回答已采纳
对于我的CI,我知道需要从CLI启动ZAP,这很好: -t owasp/zap2docker-stable但我看不出如何激活一个社区脚本,,以便在每个调用中包含一个令牌。对我来说不清楚,基本上要求安装这个应用程序,用鼠标查找键,但我做不到(没
浏览 25提问于2022-10-12得票数 0
我正在努力使Zap在我公司的持续集成工作流程中的使用自动化。我们正在使用gitlab和我想要使用一个对接图像嵌入Zap作为一项服务,并在第一次,只需打电话快速扫描一个合法的目标网站,如itsecgames.com。我使用的是码头映像,它公开了zap.sh作为入口点。如何在gitlab脚本中使用此映像作为服务,以便对itsecgames.com进行快
浏览 2提问于2017-06-09得票数 1
3回答
我正在试用OWASP/ZAP,看看它是否可以用于我们的项目,但我无法使它工作--我不知道我做错了什么,文档真的没有帮助。我正在尝试的是在windows机器上本地运行在码头容器中的api上运行扫描,所以我运行命令:docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stablezap</e
浏览 0提问于2019-02-14得票数 1
回答已采纳
1回答
我是DevSecOps的新手。最近,我尝试在Gitlab CICD管道中实现DAST,但是ZAP无法访问主机。stage: test - docker run -t owasp/zap2docker-weekly zap-baseline.py -t http:为了保持它的运行,我分离了流程,如构建阶段所示。但是在Dast扫描作业中
浏览 13提问于2021-04-22得票数 1
我希望在管道中将ZAP作为代理运行,并通过代理运行selenium测试。我只是在容器中使用卷曲代替selenium进行测试,并且能够在本地使用docker完成这项工作。在我的管道中,zap启动了,但是在那之后,管道只位于zap容器中,从来没有进展到第二个容器。我明白为什么,我已经启动了一个进程,作为一个守护进程,它永远不会完成,所以这个步骤永远不会完成。我只是不明白如何在詹金斯完成我所需要的。sta
浏览 2提问于2018-11-20得票数 2
回答已采纳
理想情况下,我想自动化扫描给一些规格(以ZAP理解的任何格式,但不是自动工具,如OpenAPI Swagger),一个网址入口点和用户名/密码,但我被困在更基本的步骤,如认证。如何使用OWASP对API进行身份验证?如何重用在其他HTTP请求中用作头的JWT令牌?是否可以模仿我在HTTP集成测试中所做的工作,让ZAP发现与HTTP路径、
浏览 5提问于2021-03-09得票数 1
1回答
我目前正试图让OWASP扫描仪在一个特殊的网站上工作。否则,服务器将向断开页重定向302。是否有方法将此参数添加到ZAP扫描器中?
浏览 0提问于2019-01-21得票数 1
2回答
使用JQ解析变量中的JSON数据
、、、、
我的脚本有一些问题,它从JSON收集数据,将它们存储在变量中,然后用于CURL请求。我需要为每个JSON条目构建一个CURL请求。 我的问题是,我想一个接一个地将参数传递给CURL请求。我正在考虑一个for循环,但这实际上不是正确的解决方法。所以问题是,我如何使用JQ以适当的方式,以一种迭代的方式传递变量?同样,我需要对JSON
浏览 26提问于2021-08-10得票数 0
回答已采纳
1回答
最后,我用e2e和ZAP (使用Docker)实现了我的目标。
目前,我正在考虑使用ZAP作为yml文件中的服务。Cypress:将流量(通过代理)转发给ZAP (选项HTTP<
浏览 1提问于2020-04-21得票数 1
我想在OS X上捕获HTTP请求和响应。这些请求是从Ruby- on -Rails服务器发送到Elasticsearch服务器的,因此我不能使用Chrome或其他浏览器提供的内置日志记录。在我的elasticsearch.yaml中,我将Elasticsearch更改为使用端口9400。使用web浏览器,我验证了它现在支持对该端口的请求,而不是9200。在ZAP中,我将Options > Lo
浏览 1提问于2016-06-16得票数 3
4回答
发现无文档API的策略
、、、
受到这个问题的启发:如何处理API测试。但是,如果您没有记录终结点,因为开发人员没有时间这样做,或者它是一个遗留项目,没有文档之类的,那么该怎么办呢?
浏览 0提问于2019-11-19得票数 5
回答已采纳
我的机器上有Zed攻击代理(ZAP),我的浏览器是Firefox。当我通过ZAP代理(使用FoxyProxy)路由浏览器流量时,如果是HTTPS流量,Firefox会说“您的连接不安全”,仅此而已。我甚至不能在代理的时候搜索。
我是否需要在ZAP上安装一个证书,或者我可以绕过它?
浏览 0提问于2017-01-04得票数 5
回答已采纳
2回答
请大家给我一个关于如何集成ZAP工具与JMeter的安全问题的想法,我需要它涉及到日常的CI构建?提前谢谢。当我运行JMeter时,我还需要ZAP为所有JMeter API调用应用它的安全性测试。我需要JMeter和ZAP为每个API按顺序运行。
浏览 4提问于2018-01-13得票数 0
我的一个站点将提交漏洞测试,不确定公司是否手动进行此测试。我想知道我是否能找到任何软件,其中我指定了在我的网站中使用的所有变量名称,并自动尝试输入代码、脚本和其他东西在我的表单和页面中,以查看是否有任何漏洞打开。
浏览 0提问于2017-07-07得票数 4
回答已采纳
我想在zap完整扫描期间对每个请求启动httpsender脚本。所以我照做了 docker run -v $(pwd):/zap/wrk/:rw -h -t owasp/zap2docker-weekly zap-full-scan.py -t https://www.test.com" 我的http_paramerters.js
浏览 97提问于2021-01-15得票数 0
1回答
我有一个web应用程序(Spring ),并对控制器中的每个参数进行了输入数据验证。不存在的是检查接受的参数映射大小。也就是说,当控制器需要10个参数,而请求有11个或9个参数时。我被告知,参数大小是重要的检查,以防止任何攻击或注入,即安全pov,特别是参数注入。在ZAP扫描过程中,ZAP会突
浏览 0提问于2018-08-29得票数 0
我是一个新的OWASP ZAP,所以我需要你的帮助。我需要使用CSRF令牌的蛮力。从加载页面接收user_token据我所知,我需要创建从加载页面接收user_token的脚本,然后在授权链接上运行Attak -> Fuzz,然后选择user_t
浏览 0提问于2017-01-31得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
