1回答
我正在将用于SOAP注入的90019扫描器传递到zap脚本中,但它没有运行它,而它运行的是其他规则,如OS命令注入和Server端。我正在从一个码头容器运行zap,我注意到看到这些其他规则对应于一个特定的zap插件的输出。因此,我猜我在我的环境中缺少了一个SOAP插件,我的问题是:我如何在Docker中安装一个与扫描仪90019相对应的插件,以确保运行</
浏览 0提问于2018-02-19得票数 0
回答已采纳
首先,我在Docker容器中运行ZAP,并将使用Jenkins自动化ZAP扫描。官方的对接图像似乎有一个脚本,执行蜘蛛和主动扫描,但不做任何模糊。有什么方法可以通过命令行进行模糊处理吗?我不能用手动的方式访问GUI并运行fuzz,因为一切都需要自动化。
浏览 0提问于2021-07-21得票数 1
1回答
我正在使用工具OWASP ZAP在asp.net核心web应用程序上运行笔测试。当我使用Owasp ZAP的windows应用程序运行测试时,测试运行得很好,并且给出了结果,但当我尝试使用命令行运行测试时,我看到了这个异常。我将ZAP_PATH环境变量更改为zap.sh所在的文件夹。
浏览 81提问于2021-05-13得票数 1
回答已采纳
我们正在尝试在我们的CICD管道中使用Zap代理。有使用各种工具编写的测试用例,如UFT(https://www.microfocus.com/en-us/products/unified-functional-automated-testing/overview我不想专门为zap代理扫描编写测试用例,但是使用来自各种工具的功能测试用例,并使用它们通过zap代理在所有的url上运行主动扫描,我不确定这可以在多大
浏览 37提问于2019-05-20得票数 0
我正在努力使Zap在我公司的持续集成工作流程中的使用自动化。我们正在使用gitlab和我想要使用一个对接图像嵌入Zap作为一项服务,并在第一次,只需打电话快速扫描一个合法的目标网站,如itsecgames.com。我使用的是码头映像,它公开了zap.sh作为入口点。如何在gitlab脚本中使用此映像作为服务,以便对itsecgames.com进行快速扫描?-cmd -quickurl http://itsecgame
浏览 2提问于2017-06-09得票数 1
我正在命令行中使用ZAP (停靠表单)在命令行上运行经过身份验证的扫描,但没有发现漏洞。我要这么做:谢谢你的帮助
浏览 10提问于2022-07-25得票数 0
这将有助于数据可视化&与ZAP和UI的交互。
如何在ZAP工具中读取请求、处理数据和生成结果?同样用于被动扫描
浏览 16提问于2022-09-22得票数 -1
1回答
最初,我尝试通过ZAP验证API。导入Swagger.json并运行活动扫描。在尝试使用ZAP API扫描停靠器映像时,我会收到警告,如--这可能表示应用程序未能正确处理意外输入。由“”脚本引发 -v $(pwd):/zap/wrk/:rw -t owasp
浏览 3提问于2021-07-14得票数 0
我们已经配置了安装ZAP的本地Jenkins实例(安装了所需的ZAP插件),并尝试使用Jenkins作业执行ZAP扫描。ZAP扫描正在从本地Jenkins实例中进行,我们可以看到进展,并且扫描正在完成。我们需要将此Jenkins配置移动到远程Jenkins实例,在该实例中有我们的其他部署乔布斯。我们已经为ZAP主机创建了节点,当我们试图运行ZAP扫描时,扫描将被启动,但是进度
浏览 0提问于2018-06-28得票数 0
回答已采纳
1回答
我正在尝试了解被动扫描是如何工作的,以及如何在我的用例中应用它。 我在下面演示了我的设置: ? 客户端可以使用基本身份验证或SAML根据代理对自身进行身份验证。所以我的问题是:假设代理在端口A上运行,后端服务在端口B上运行,我希望使用Owasp ZAP被动地扫描所有请求。对于被动扫描,ZAP会话是否需要以任何方式对自身进行身份验证?我知道主动扫描必须进行身份验证才能操作应用程序,但我真的不能理解被动扫描<
浏览 70提问于2021-06-24得票数 1
回答已采纳
1回答
最近,我尝试在Gitlab CICD管道中实现DAST,但是ZAP无法访问主机。allow_failure: trueStatus: Downloaded newer image for owasp/zap2docker-wee
浏览 13提问于2021-04-22得票数 1
理想情况下,我想自动化扫描给一些规格(以ZAP理解的任何格式,但不是自动工具,如OpenAPI Swagger),一个网址入口点和用户名/密码,但我被困在更基本的步骤,如认证。然后,我正确地点击了我的“默认上下文”(我用这个名称创建了它,与ZAP术语无关,它只是一个ZAP上下文),并点击了“活动扫描”。然后什么都不会发生。是否可以模仿我在HTTP集成测试中所做的工作,让ZAP
浏览 5提问于2021-03-09得票数 1
我试图对一个API运行ZAP扫描,但是当我运行下面的命令时,我得到了错误“无效选项v:选项-v不被识别的”:
docker run -t owasp/zap2docker-weekly zap-api-scan.py我想要生成扫描报告并转储到同一个目录。我的理解是,命令-v $(pwd):/zap/wrk/:rw会将docker映像中的/zap/wrk&#
浏览 4提问于2021-10-08得票数 0
回答已采纳
1回答
我已经安装了OWASPZAP2.8.0和扫描我们的网站完全。结果,我们得到了一些SQL注入URL或页面。因此,我们已经解决了SQL注入在开发中提到的OWASP工具的问题。如何扫描OWASP中的特定页面或URL?我们已经对进行了全面的扫描,结果我们得到了下面的URL是SQL注入可能的结果。
因此,在开发过程中,我们仅为本页提供了一些修复。如果我们再次扫描来检查。这是扫描我们的完整网站。它需要超过2天才能完成。如何扫描OWASP中</em
浏览 7提问于2019-08-06得票数 5
我完成了上面文档中给出的所有设置。但我还是收到了错误 执行的步骤: 通过导航到“插件管理器”来安装“OWASP ZAP Jenkins官方插件”。 ? 创建名为ZAP的Freestyle项目 在"Build Environment“中,选中"Install Custom Tools”for ZAP,当您单击"Tool Selection“时,您将获得我们在配置时提交的导航到“构建”过程,如ZAP的路径、主机和端口详细信息。您可以根据需要进
浏览 114提问于2021-10-07得票数 1
我试图在Jenkins的同一个工作中运行Selenium和OWASP。本质上,我希望Jenkins启动ZAP,在使用ZAP作为代理时运行Selenium测试,然后使用Selenium提供的位置启动ZAP扫描。首先,“Selenium构建步骤必须放在执行ZAP构建步骤之前。”第二,“运行扎普作为预构建步骤”。那么,我是首先启动ZAP还是先运行Selenium?显然,我必须首先启动ZAP</em
浏览 0提问于2018-09-07得票数 2
1回答
我通过Zap代理我的UI测试来自动化安全扫描。对于每次安全扫描运行,将创建新的zap会话并代理请求。在我们的应用程序中,登录api响应中的访问令牌是在authentication头中设置的,用于身份验证。当我通过zap代理我的测试时,报头也会与请求有效负载、url等一起记录并存储在ZAP中。如果
在活动扫描期间,由zap记录的令牌以及请求仍然有效(未过期或未过期的令牌被排除在asc
浏览 4提问于2020-07-02得票数 0
回答已采纳
1回答
尝试在连续集成(CI)设置中使用ZAP (2.4.3)。我可以将ZAP作为守护进程运行,使用ZAP作为代理运行我的所有Selenium测试,然后能够使用REST调用htmlreport来获得被动扫描程序的最终报告。这是很好的工作,但我想也使用主动扫描仪。在ZAP的文档中多次提到使用CI中的Active Scanner,但是没有找到任何关于它的工作示例或教程.有什么存在吗?我想要实现的是:在Selenium回归套件访问
浏览 3提问于2016-01-07得票数 1
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
云直播
腾讯云开发者
