OWASP ZAP(Zed Attack Proxy)是一个开源的安全工具,用于发现 Web 应用程序中的漏洞。你可以在命令行中运行 ZAP 扫描,以便将其集成到自动化测试或 CI/CD 管道中。以下是如何在命令行中运行 ZAP 扫描的步骤。
首先,你需要下载并安装 OWASP ZAP。你可以从 OWASP ZAP 官方网站 下载适合你操作系统的版本。
ZAP 提供了一个命令行界面(CLI),你可以使用它来启动 ZAP 并执行扫描。以下是一些常用的命令行选项:
-daemon
:以守护进程模式启动 ZAP。-config
:设置 ZAP 配置选项。-port
:指定 ZAP 的监听端口。-host
:指定 ZAP 的监听主机。例如,以下命令以守护进程模式启动 ZAP,并监听在默认端口 8080
:
zap.sh -daemon -port 8080
ZAP 提供了一个 REST API,你可以使用它来控制 ZAP 并执行各种操作,包括启动扫描。以下是一个使用 curl
命令进行扫描的示例。
首先,确保 ZAP 已经以守护进程模式启动,并监听在指定端口。
你可以使用 ZAP 的 API 来启动扫描。以下是一个示例,展示了如何使用 curl
命令启动一个主动扫描(Active Scan):
curl "http://localhost:8080/JSON/spider/action/scan/?url=http://example.com&apikey=your_api_key"
curl "http://localhost:8080/JSON/ascan/action/scan/?url=http://example.com&apikey=your_api_key"
你可以通过以下命令检查扫描的进度:
curl "http://localhost:8080/JSON/ascan/view/status/?scanId=0&apikey=your_api_key"
扫描完成后,你可以通过以下命令获取扫描结果:
curl "http://localhost:8080/JSON/core/view/alerts/?baseurl=http://example.com&apikey=your_api_key"
ZAP 还提供了一个命令行工具 zap-cli
,你可以使用它来简化命令行操作。你可以通过 pip
安装 zap-cli
:
pip install zap-cli
安装完成后,你可以使用 zap-cli
进行各种操作,例如启动 ZAP、启动扫描和获取结果。
zap-cli start
zap-cli spider http://example.com
zap-cli active-scan http://example.com
zap-cli alerts
领取专属 10元无门槛券
手把手带您无忧上云