有没有办法为被动扫描创建扫描策略?我知道您可以为主动/攻击扫描创建和修改扫描策略,但我想知道您是否可以对被动扫描规则执行相同的操作,或者是否必须在每台计算机上单独修改它们?
浏览 9提问于2018-07-10得票数 1
1回答
我编写了一个脚本(js -跟随Nashorn JS引擎和jsoup用于解析),用于OWASP被动扫描(将脚本置于被动规则之下)。现在我遇到了一个问题,当ZAP处理一个请求时,它不仅加载整个js文件的扫描函数,所以我不能使用变量作为标志来检测我之前设置的某些状态。另外,被动规则中的脚本不支持窗口对象、本地存储.所以不能用。
浏览 2提问于2017-04-18得票数 0
回答已采纳
1回答
OWASPZAP执行的扫描类型
、、、、
我已经开始使用OWASPZAP (手动扫描),到目前为止,学习和同时执行一直是令人兴奋的。我对我们的应用程序进行了被动扫描,发现了3个警报,并解释了描述/ OtherInfo /解决方案/引用如下:
是否有方法了解OWASPZAP在扫描开
浏览 0提问于2018-09-24得票数 0
回答已采纳
1回答
我正在尝试了解被动扫描是如何工作的,以及如何在我的用例中应用它。 我在下面演示了我的设置: ? 客户端可以使用基本身份验证或SAML根据代理对自身进行身份验证。所以我的问题是:假设代理在端口A上运行,后端服务在端口B上运行,我希望使用Owasp ZAP被动地扫描所有请求。对于被动扫描,ZAP会话是否需要以任何方式对自身进行身份验证?我知道主动扫描必须进行身份验证才能操作应用程序,但我真的不能理解被动</e
浏览 70提问于2021-06-24得票数 1
回答已采纳
当通过OWASP工具触发命令时,我们需要知道后端命令是如何工作的。
如何在ZAP工具中读取请求、处理数据和生成结果?
同样用于被动<
浏览 16提问于2022-09-22得票数 -1
我想知道是否有人知道如何停止或加速在进行中的ZAP被动扫描版本2.9。我有一个64000+被动扫描队列,它一点也不快。我已经禁用了所有被动扫描规则,方法是选择->被动扫描规则,并将阈值设置为“关闭”所有内容。控制台日志一遍又一遍地说,当然,对于不同的时间和不同的URL,
[ZAP-PassiveScanner] WARN org.zaproxy.zap.ex
浏览 0提问于2020-03-06得票数 0
我正在使用OWASP ZAP来扫描web应用程序。扫描后,我可以将获得的警报导出为PDF文件。此PDF文件仅包括警报。问题是,在扫描应用程序时,我能否获得所有通过和失败的测试的完整列表?我知道我可以使用ZAP的API来获取所有的扫描规则,但这并不是我真正需要的。我需要一份报告,显示所有通过和失败的测试。如下所示:测试nr1 |通过
测试nr2 |失败
浏览 2提问于2020-07-04得票数 2
1回答
假设我在OWASP Zed Attack Proxy(ZAP)中扫描的每个网站都遇到了相同的问题。如果我想抑制这个问题,我该怎么做呢?
浏览 0提问于2017-03-09得票数 1
我试图在使用身份验证的网站上使用OWASP运行基线扫描。它使用基于JSON的身份验证。但是当我运行它时,我从结果中看到它没有登录。我是这样运作的:
导入</e
浏览 0提问于2019-08-05得票数 0
回答已采纳
我们希望使用ZAP扫描我们的站点漏洞问题。例如,我们要检查是否有javascript将任何数据发布到没有在白名单中的站点.?所以,也许我们可以在ZAP加载项中实现这个特性,但是如何创建我们自己的ZAP插件.?
浏览 1提问于2018-10-15得票数 2
回答已采纳
我正在尝试对我的API进行身份验证,以便使用OWASP执行一些被动/主动扫描。然后我点击右键后弹出窗口中的“开始扫描”按钮。
然后什么都不会发生。如何使用OWASP对API进行身份验证?如何重用在其他HTTP请
浏览 5提问于2021-03-09得票数 1
1回答
忽略URL CSRF保护
、、、、
然而,在我的登录页面中,我导入了jquery-1.10.2.min.js库:但是当我运行OWASP Zap来扫描我的应用程序时,它一直收到一个警告: Anti CSRF Tokens Scanner on URL:
CSRF是否有办法忽略此URL并将其标记为受保护,或者是否有其他方法可以忽略此URL或在OWASP Zap扫描中传递此
浏览 0提问于2015-08-27得票数 0
我试图找到一种方法来编写自己的OWASP扫描规则,以便使用zap2docker的baseline_scan.py运行基线扫描,并在由"-c“指定的docker配置文件中定义规则的严重性(info/warn/ file )
在查看ZAP存储库时,我已经找到了一个规则的源文件,例如,并且希望创建类似的东西,只是在这样的情况下,我不会被迫创建自己的坞库映像,并且可以从CI/CD管道中加载此规则。是否有
浏览 4提问于2022-05-05得票数 0
码头运行--rm -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-稳定的zap-baseline.py -t -g gen.conf -r testreport.html
浏览 4提问于2017-04-04得票数 3
回答已采纳
1回答
我设置了Azure devops /CD构建,它将启动vm,其中Owasp Zap作为代理运行,Owasp zap Azure devops任务将在目标url上运行,并在Azure存储中复制我的报告。(首先是在Azure内部,但这并不顺利, ),最后进入本教程()- docker pull owasp/zap2docker-weekly
-经营集装箱-命令:docker run -v ${pwd}:/z
浏览 1提问于2019-01-08得票数 2
回答已采纳
2回答
我要做的是:zap.bat -daemon -host localhost -port 2355 -config api.disablekey=truecurl&maxChildren=&recurse=&contextName=some-test-context&subtreeOnly=" -H "cache-control: no-cache"我
浏览 1提问于2017-11-27得票数 3
回答已采纳
我已经记录了一个流,并使用OWASP ZAP工具创建/导出了一个Sites和Context。现在我需要使用Context到NodeJS在记录Sites上运行ZAP SPIDER现在我需要知道如何在我的代码中访问/导入记录的Context和Sites
浏览 2提问于2017-05-04得票数 0
我想从测试中生成一份基本报告,我希望测试覆盖OWASP前10名。我已经查看了OWASP ZAP报告,但这只是突出了任何问题,而不是说XY和Z在测试时没有证据表明它们发生了,并详细说明了发现的问题。
浏览 3提问于2013-02-07得票数 0
上一次我进行扫描时(在OWASP2.4.0上使用Firefox版本的相同时间框架),我可以轻松地生成动态ssl证书,保存它(作为一个cer)并将它导入Firefox。现在,使用ZAP2.7.0和Firefox 51.0.1,它无法工作。
现在,Firefox抱怨说“无法安装这个个人证书,因为您没有相应的私钥,该私钥是在请求证书时创建的。”我不是ZAP,或证书,专家,但这不应该工作吗?Chrome和IE不抱怨证书,但他们默默地没有导入它。这意味着我不能做我需要做的扫描。到
浏览 2提问于2018-01-10得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
