ZAP能否用于SPA应用
ZAP(Zed Attack Proxy)是一款开源的网络应用安全扫描工具,它可以用于测试和评估Web应用程序的安全性。ZAP具有以下特点和优势:
- 功能强大:ZAP提供了多种安全测试功能,包括漏洞扫描、安全配置审计、安全漏洞利用等。它可以帮助开发人员和安全专家发现和修复应用程序中的安全漏洞。
- 易于使用:ZAP具有直观的用户界面,使得用户可以轻松地配置和执行安全测试。它还提供了丰富的文档和教程,帮助用户快速上手。
- 支持多种应用程序:ZAP可以用于测试各种类型的Web应用程序,包括单页应用(SPA)。SPA是一种使用JavaScript动态加载内容的Web应用程序,ZAP可以对其进行全面的安全测试。
- 自动化测试:ZAP支持自动化测试,可以通过API进行集成和批量测试。这使得开发人员可以将ZAP集成到持续集成和持续交付(CI/CD)流程中,实现自动化的安全测试。
- 社区支持:ZAP是一个开源项目,拥有活跃的社区支持。用户可以通过社区论坛、邮件列表等方式获取帮助和分享经验。
对于SPA应用程序,ZAP可以通过以下方式使用:
- 扫描漏洞:ZAP可以对SPA应用程序进行漏洞扫描,包括常见的安全漏洞,如跨站脚本(XSS)、跨站请求伪造(CSRF)、SQL注入等。通过扫描漏洞,开发人员可以及时发现并修复潜在的安全问题。
- 安全配置审计:ZAP可以对SPA应用程序的安全配置进行审计,包括TLS/SSL配置、HTTP头设置、访问控制等。通过审计安全配置,开发人员可以确保应用程序的安全性和合规性。
- 安全漏洞利用:ZAP还可以模拟攻击者的行为,尝试利用已知的安全漏洞来攻击SPA应用程序。这有助于开发人员了解潜在的攻击路径和漏洞利用方式,从而加强应用程序的安全性。
腾讯云提供了一系列与安全测试相关的产品和服务,可以与ZAP结合使用,例如:
- 云安全中心:提供全面的安全态势感知、安全威胁检测和安全事件响应能力,帮助用户及时发现和应对安全威胁。
- Web应用防火墙(WAF):通过识别和阻止恶意请求,保护Web应用程序免受常见的攻击,如SQL注入、XSS等。
- 安全加速(DDoS防护):提供分布式拒绝服务(DDoS)攻击防护,确保Web应用程序的可用性和稳定性。
更多关于腾讯云安全产品和服务的信息,请访问腾讯云安全产品介绍页面:腾讯云安全产品介绍
请注意,以上答案仅供参考,具体的使用和配置方法还需要根据实际情况进行调整和实施。
相关·内容
1回答
我有一个SPA应用程序(angularjs前端/restfull WebAPI后端)。SPA被设计为使用客户端路由-即典型的“页面”看起来像
。。等
我知道ZAP有"ajax爬行“模式,在这种模式下,它可以”从javascript“获取urls。然而,主动扫描只是发出http请求-所以我怀疑ZAP是否可以在这种情况下使用-或者我错了?
浏览 13提问于2016-08-18得票数 5
我正在使用OWASP ZAP来扫描web应用程序。扫描后,我可以将获得的警报导出为PDF文件。此PDF文件仅包括警报。问题是,在扫描应用程序时,我能否获得所有通过和失败的测试的完整列表?我知道我可以使用ZAP的API来获取所有的扫描规则,但这并不是我真正需要的。我需要一份报告,显示所有通过和失败的测试。如下所示:
测试名称|通过/失败
测试nr1 |通过
测试nr2 |失败
浏览 2提问于2020-07-04得票数 2
1回答
我一直在使用Zest登录脚本运行Zap认证扫描,但是在我更新Zap映像之后,auth已经崩溃了--这似乎是由于API的改变。
这是我得到的输出:
5309955 [ZAP-ProxyThread-3963] INFO org.parosproxy.paros.control.Control - New session file created
zap | 5313051 [ZAP-ProxyThread-3971] INFO org.zaproxy.zap.authentication.ScriptBasedAuthenticationMethodType - Loaded s
浏览 2提问于2019-01-31得票数 0
1回答
我有一个Page应用程序,它基于RESTful App工作。一般来说,所有的API都有一个路由访问,可以在检查web应用程序时找到。
虽然我有基于用户令牌的身份验证机制,但黑客可以找到API路由并使用他给定的令牌直接向API发送许多请求。
防止这种行为的最佳解决办法是什么?我在考虑CSRF,但是由于API是基于REST的,而且这个项目是SPA,我认为我应该有另一种机制。
你能帮帮我吗?
浏览 0提问于2020-05-19得票数 0
回答已采纳
1回答
我可以使用OpenId连接来实现两个单页应用程序之间的SSO吗?如果是的话,流量会是多少。
场景: App1 (SPA)启动并使用一个OIDC流来获得Id_token和访问令牌。然后,它进行许多REST调用。稍后,用户单击一个打开第二个SPA App2的按钮。这两个应用程序都属于同一家公司。App2能否利用Id_token和App1获得的访问令牌进行单点登录?从规范来看,答案似乎是否定的,因为这些令牌是针对特定客户端的。使用OIDC在两个SPAs之间启用SSO的其他流吗?或者它超出了OpenId连接的范围,在这种情况下,我们必须考虑传统的解决方案,如CA、IBM等。
浏览 0提问于2017-04-20得票数 1
我在我们的CI管道中集成了ZAP扫描(通过代理e2e测试)。我正在检查警报过滤器插件标记假阳性。由于组织上的要求,我们应该生成两个zap html报告。
报告无假阳性报告抑制假阳性
当我使用http://zap/JSON/alertFilter/action/addAlertFilter/... api在主动或被动扫描之前标记假阳性时,标记为假阳性的警报不会在HTML中报告(这是预期的)。在通过抑制误报生成报告之后,我使用http://zap/JSON/alertFilter/action/removeAlertFilter/...删除了假阳性警报筛选器,并尝试生成报告以获取所有警报,但我没有
浏览 5提问于2020-04-29得票数 2
1回答
我想使用对许多不同的web应用程序执行经过身份验证的扫描。这些web应用程序都有不同的登录机制,我不想通过许多不同的表单执行繁琐的登录过程,每个表单都需要手动配置。
更简单的解决方案是为每个应用程序使用HTTP会话cookie来执行这些经过身份验证的扫描,但是,如果不与关联用户创建上下文,则无法看到执行此操作的机制。
我试图通过http会话添加一个新会话,尽管它们并不适用于这个用例:
def add_session(self, session_name, session_tokens):
self.zap.httpsessions.create_empty_session(se
浏览 6提问于2016-12-13得票数 0
回答已采纳
我希望开发一个使用角度js和.Net MVC的网站。但我还是希望将其开发为SPA(单页应用程序)。我应该开发一个eCommerce网站,而我的客户时间很短。为了加快速度,我不希望学习角Js中的身份验证过程,然后实现它。我已经知道.Net MVC应用程序中的服务器端身份验证。因此,我的问题是,我能否在 MVC应用程序中使用部分视图实现身份验证过程(以便将其保持为SPA)?
如有任何帮助/建议,将不胜感激。
浏览 2提问于2016-12-12得票数 0
1回答
保护SPA多租户SaaS应用程序
、、、、
在保护单页多租户saas应用程序方面,我需要一些帮助。
问题:( 1)实现它的最佳方式是什么?我正在尝试使用angularjs、spring和REST构建应用程序。( 2)能否使用Security来完成这一任务?任何创建登录页面和保护REST的例子都会有帮助吗?
我找到了一个用spring ()实现Spring安全性的示例,但它不是针对SPA和SaaS的。
我理解这是一个非常广泛的问题,但我对SPA、REST和SaaS还不熟悉,所以任何指针都会有帮助。
谢谢..。
浏览 2提问于2013-04-30得票数 0
我有一个场景,我们有一个基于PHP的网站,通过它用户登录使用存储在数据库中的凭证。现在我们有了另一个以.NET为核心的SPA网站,layer.We没有像Azure这样的中央认证服务器的选项。如果我想让SPA的用户访问网站,因为他们已经在PHP中进行了身份验证,我应该怎么做?PHP能否生成JWT以将其传递给API?然后,该JWT如何到达SPA,我如何验证它?请好心,因为我是一个网站编程新手。
浏览 2提问于2020-05-15得票数 1
我已经在nodejs和nginx代理上运行的5个应用程序中集成了zeromq。我想知道保护0mq和nodejs应用程序之间tcp通信的最佳方法--我主要是使用PUB SUB方法。
目前,为了安全起见,我正在使用rep方法在任何连接之前与队列id共享密钥。这把钥匙我用在潜艇上了。对于zeromq安全,什么是最好的标准?
浏览 2提问于2016-02-14得票数 1
回答已采纳
1回答
推荐的微服务架构本地开发/调试方法是什么? 我们来自一个整体式web api,其中调试涉及到将调试器附加到单个进程。另一个进程运行调用后端服务API的SPA。我们在本地运行SPA,它在本地调用API,并对调用具有完全可见性。这种完全本地化的方法能否应用于微服务架构,在该架构中,您可以通过API Gateway将100个独立的服务粘合在一起?如果没有,您如何在本地运行端到端开发/调试周期?
浏览 16提问于2019-10-10得票数 0
回答已采纳
1回答
问题与有关。基于共享的解释,Auth机制似乎不适合托管在Azure Web应用程序上的SPA?MS能否在正式文档中添加提到的选项-- "“
我面临以下问题:当AppServiceAuthSession cookie过期时,对底层安全API调用的任何SPA请求都会失败,而CORS问题则会失败:未能加载:从“”重定向到“”已被CORS策略阻止:请求的资源上不存在“访问-控制-允许-原产地”标题。因此,“”源是不允许访问的。如果不透明响应满足您的需要,请将请求的模式设置为“no- CORS”,以获取禁用CORS的资源。
浏览 0提问于2018-02-26得票数 0
ZAP在GUI模式下成功地在码头容器上运行,但它只允许一个活动用户在我用来运行映像的time.Command上:-
docker run -名称zap -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-稳定的zap-webswing.sh
如何提高用户限制?
浏览 6提问于2020-05-08得票数 1
回答已采纳
当使用docker run -t owasp/zap2docker-stable zap-baseline.py -t https://10.1.2.3/zapwave启动扫描时,爬行器将返回到根URL https://10.1.2.3,并继续扫描超出作用域的项。eg /ghost, /mono, /webgoat
是否可以将扫描范围限制在指定的目录或以下?本例中的web应用程序是OWASP。
浏览 7提问于2020-02-04得票数 1
回答已采纳
我们在SPA中遵循基于cookie的身份验证,并且我们有从MVC (旧站点)切换到SPA (新站点)的概念,即:一个单一的登录概念。
注意:在SPA中,导航完全是使用cookies角1.5代码构建的.
在开发和分阶段(即HTTP )时,一切都很好。但是在发布到作为HTTPS在安全SSL认证上运行的产品之后,我们无法从MVC设置的spa中读取cookie,因此切换是不成功的。
您能否建议我们在这里缺少什么,或者任何可以做的快速修复,这样我们就可以访问HTTPS安全cookie并轻松地将它们重定向到SPA中的仪表板上。
浏览 1提问于2017-07-04得票数 0
2回答
我目前正在尝试使用zap扫描API。我从下载了宠物店的例子,并用spring设置了一个服务器。现在我想用一个Jenkins构建任务来扫描这个API。
到目前为止,我的构建任务是:
docker pull owasp/zap2docker-weekly
docker run -t owasp/zap2docker-weekly zap-api-scan.py -t http://localhost:8080/v2/bla -f openapi
通过URL,我将宠物店openapi定义作为字符串返回。正在通过C:从本地硬盘加载...没有起作用。
我现在有以下错误,并请求帮助:
C:\Program
浏览 23提问于2019-02-25得票数 3
在使用ZAP的对接图像扫描应用程序时,我试图使用表单身份验证。在PowerShell中尝试在下面的命令中扫描应用程序: zap.yaml:在PowerShell中执行命令之后获得以下错误:
这个错误是什么?在哪里可以找到这个错误的日志文件?
浏览 9提问于2022-09-05得票数 0
1回答
我计划使用ZAP CLI自动执行整个ZAP扫描。 ZAP使用上下文进行基于表单的身份验证。可以使用ZAP轻松地手动创建此上下文。但是我需要自动化这个上下文创建,以便可以使用自动化扫描任何具有表单身份验证的应用程序。 有没有什么办法/变通方法可以这样做? How to create ZAP context using ZAP UI 提前谢谢。
浏览 48提问于2021-03-18得票数 0
回答已采纳
我们有一个使用OWASP测试漏洞的应用程序。为了处理登录,我为UserName和PassWord创建了一个身份验证脚本,但是,在发布提交凭据时,应用程序重定向到OTP页面。OTP可以从DataBase中读取。是否有使用Owasp从DBs读取数据的方法。
浏览 5提问于2022-11-28得票数 0
回答已采纳
adal.js -是否可以在非SPA MVC站点上使用adal.js?
从下面的链接可以看出,adal.js可以用于单页面应用程序(SPA):
adal.js -是否可以在非SPA MVC站点上使用adal.js?
浏览 2提问于2015-12-27得票数 0
1回答
我对ZAP非常陌生,我必须使用ZAP在web应用程序上执行安全测试,使用Selenium在浏览器上导航,为ZAP创建流量。我正在使用Eclipse for Enterprise开发人员版本2019-03 (4.11.0)和JavaJDK-1.8.0_212和Maven 3.5.3,以及3个导入库: harlib版本1.1.1 (edu.umass.cs.benchlab harlib)、zap版本1.7.0 (org.owasp zaproxy- api )和代理版本2.4.2快照(net.continuumsecurity zap- Java )。
我遵循了这个教程:,它起作用了。简单地回顾
浏览 2提问于2019-07-10得票数 1
回答已采纳
我正在为一个客户设计一个网络应用程序,他希望保持他的一些业务规则的隐私,我们有一个NDA。简而言之,客户使用该应用程序预订服务,而员工使用它来跟踪预订情况。由于前端是公共的(并且是不可信任的),所有由业务规则决定的决策都必须发生在服务器上。
现在,如果我使用一个非常好的GPLv3许可模块,那么SPA必须在兼容的许可下获得许可,比如MIT,因为这个应用程序(包括模块)正在分发给每个访问该站点的人。这很好,无论如何都不可能在前端隐藏任何东西。我没有为社区做出足够的贡献,我很想以开源的方式发布一个产品级SPA的例子。这将是一个很好的方式开始一个博客。
服务器将实现一个公开定义的API,前端将与实现该
浏览 0提问于2014-01-17得票数 1
回答已采纳
1回答
我有一些SPA,它们是每个客户端的一些标准仪表板,他们偶尔也会使用它。所以我想把它们搬到亚马逊的S3桶里。我在这方面取得了一些成功。我主持了一个应用程序添加了一个CNAME的桶路径,我在那里。
我面临着一些挑战
1)默认情况下不使用SSL --在HTTP上服务
2) S3无法处理角路径-是吗?
因此,我继续使用CloudFront为我的应用程序提供SSL。是!成功的SSL问题,但没有改进的路线问题。
因此,我添加了Lambda@Edge支持,将404错误转换到我的应用程序索引页面,以处理重路由,但没有成功。
所以我的问题分为两部分
1)我们能否在一个带有SSL和路由处理的AWS桶中使用多个SP
浏览 3提问于2019-12-11得票数 1
回答已采纳
spring-boot应该能够通过全局JVM参数使用代理吗?
为了测试目的,我想用ZAP代理修改两个应用程序之间的响应。
在前端应用程序中,我使用全局JVM参数设置了java进程,以供代理使用:
java -Dhttps.proxyHost=10.1.93.90 \
-Dhttps.proxyPort=3128 \
-Dhttp.proxyHost=10.1.93.90 \
-Dhttp.proxyPort=3128 \
-jar myapplication.jar
但是没有使用代理。只有一个请求在应用程序启动时通过代理传递给openID提供程序以获取o
浏览 2提问于2020-11-23得票数 0
我使用下面的代码在控制台上转储日志,并使用Uber zap记录器记录文件。如何使用自定义消息编码器,以便消息的输出格式如下所示?
{"severity":"DEBUG","message":"Dec 12, 2018 19:52:39 [log.go:77] Sample debug for log file and console"}
下面是我用来将日志转储到控制台上的代码。
package main
import (
"os"
"time"
"go.
浏览 1提问于2018-12-03得票数 1
使用APT可以安装应用程序并保持它们的最新。APT仅在基于Debian的系统中可用。例如,对于红帽的RPM,也可以这样说。由于有许多包管理器需要维护,越来越多的开发人员正在发布AppImages、平板包、快照等等。就其本身而言,这是一个很好的发展,但尤其是对于AppImages,在这种情况下,很难总是使用最新的版本。我总是要看开发者的网站下载最新的版本。
我的问题是:是否有AppImage的包管理器跟踪所有AppImages?系统应该能够搜索、安装、升级和启动它们。
如果它不存在的话。您如何管理不同的AppImages?我认为创建一个像~/.AppImages/app-name/app-nam
浏览 0提问于2018-08-06得票数 4
1回答
我有一个由ZAP工具“主动扫描”的spring应用程序。它有两个用于SQL注入的高级中等警报,我认为这是一个假阳性。
最初的网址是/msg/showList?,它返回消息的200 of和json列表。在运行扫描时,添加一个参数/deliverymsg/showList?query=query+AND+1%3D1+--+,该参数还返回200个OK和json消息列表。答复没有变化,名单是一样的。应用程序不读取ZAP添加的param "query“,因此这里没有实际的SQL注入。但ZAP提醒这是高中档。
最初的网址是/filterlist?fromDate=&toDate=&
浏览 0提问于2018-08-16得票数 1
我有一个托管在IIS上的本地网站,我正在尝试用ZAP工具在守护进程模式下扫描我的应用程序。在我从IIS禁用“匿名身份验证”方法之前,一切都很好,唯一启用的方法是“基本身份验证”。我得到的错误是“未能攻击URL:接收到401响应代码”。
是否有可能从守护进程模式发送登录凭据?
命令如下所示: zap.bat -quickurl "urlToTest“-quickprogress -daemon -cmd。
浏览 3提问于2016-04-27得票数 0
回答已采纳
1回答
我一直在想,这种技术的结合是否有效。我可以用MVC、EF和AngularJs实现一个模块化的web应用程序,如果我想利用这种技术来实现某种小型SPA的话。我想进一步扩展我的知识,我想知道我是否可以使用node.js而不是EF来进行关系数据库通信。我能否将MVC后端与前端的AngularJs混合(与MVC混合),并将node.js用于数据库通信?
浏览 2提问于2016-08-01得票数 0
我正在用ZAP测试一个web应用程序,它报告了一个。我理解它是如何工作的(至少,我认为是这样的),所以我检查了代码,测试了URL,但是我找不到修复漏洞的地方。我只从ZAP了解到问题只存在于URL /service/book和参数category中。有趣的是,应用程序的其余部分没有相同的问题。
也许,如果我知道ZAP是如何找到它的,它将帮助我理解问题所在并修复应用程序。您知道如何检查ZAP是如何检测漏洞的吗?
浏览 5提问于2016-04-26得票数 0
回答已采纳
我试图使用ZAP的python来使用OWASP的基于表单的身份验证功能。
我注意到,在使用HTTP应用程序(例如- )时,它能够在登录后提供额外的URL。然而,当我尝试相同的HTTPS应用程序时,一旦登录,它就不会获取额外的URL。
我在这里的问题是- ZAP是否只支持HTTP相关web应用程序的基于表单的身份验证?
浏览 0提问于2018-05-10得票数 2
我有很多网页在我的网页应用程序,它需要时间来加载网页。在下面的示例中,我希望避免或减少cy.wait()的使用,因为它并不理想。我们如何在这个例子中应用cy.route(),我们能否创建一个公共函数并使用我们曾经可能使用的函数?注意: Dev团队正在将一些旧页面转换为React,并处理加载问题。
//test.spec.js
cy.wait(5000);
cy.bookspanel.getBookNavigationTab();
//bookhelpfunctions.js s.js
cy.bookspanel = {
getBookNavigationTab: function
浏览 3提问于2020-05-19得票数 4
1回答
我将ZAP与Jenkins集成在一起。如果我扫描我的应用程序,我可以在控制台输出中看到4个警报,但在报告中它显示为2个警报。 我不确定我在这个配置中是否做错了什么。 如果我使用ZAP执行此手动扫描,我可以看到更多警报。请找到附件中的截图。 Jenkins控制台输出: [ZAP Jenkins Plugin] SUMMARY...
ALERTS COUNT [ 4 ]
MESSAGES COUNT [ 3525 ]
[ZAP Jenkins Plugin] SHUTDOWN [ START ] 手动ZAP工具扫描报告 ? Jenkins扫描报告 ?
浏览 17提问于2020-09-29得票数 0
我是OWASP ZAP的新手,我有一个基于登录的认证web应用程序。登录期望用户名、密码和csrf令牌在我在OWASP中调试时动态生成。现在,为了使ZAP jenkins作业成功,我如何在ZAP jenkins作业中传递CSRF令牌? 我相信正因为如此,我才不会出错- [ZAP Jenkins Plugin] SPIDER SCAN STATUS [ 0% ]
[ZAP Jenkins Plugin] ALERTS COUNT [ 0 ]
9117 [ZAP-SpiderInitThread-0] INFO org.zaproxy.zap.spider.Spider - Starting
浏览 24提问于2020-10-05得票数 0
我应该生成一个特定语言的html报告(除了英语),但我找不到一个解决方案,如何改变它。这是我第一次使用OWASP ZAP。
我尝试更改它的语言(例如日本語)并重新启动应用程序,但生成的报告仍然是英文的。
浏览 0提问于2019-04-23得票数 1
1回答
我已经为测试.net MVC应用程序运行了ZAP安全工具,ZAP工具运行脚本花费了太多时间,有时工具没有很好的响应。有没有其他工具可以给我像zap这样准确的结果?
谢谢。
浏览 1提问于2015-09-30得票数 1
我正在使用python ZAP api (ZAPv2)编写一个自动化脚本来扫描我们的站点并生成警报报告,现在我还集成了python nmap来扫描我们的站点 但是,如果nmap有一些扫描问题,我希望将此类问题添加到ZAP警报报告中 有没有办法做到这一点?ZAP api是否公开服务来添加警报?就像这样: z.core.add_alert(....) 谢谢
浏览 9提问于2019-04-03得票数 1
回答已采纳
1回答
最后,我用e2e和ZAP (使用Docker)实现了我的目标。
因此,我能够看到来自或本地pc终端的结果(使用curl -X GET)。
环境:
GitLab存储库,带有e2e测试,运行于Cypress (linux映像)
带有ZAP的Docker图像(最新版本)
目前,我正在考虑使用ZAP作为yml文件中的服务。这意味着,我还必须更新package.json文件和dockerfile,以便转移来自Cypress容器的流量,并运行ZAP。
Cypress:将流量(通过代理)转发给ZAP (选项HTTP_PROXY = )
ZAP守护进程:侦听本地主机接收来自e2e的数据
浏览 1提问于2020-04-21得票数 1
1回答
我想对安装在我的手机上的移动应用程序执行安全测试(基本上安装了应用程序的apk )。设置全部完成。如果我加载任何web应用程序,ZAP正在记录通过移动完成的所有电话。但是,当我打开应用程序并执行任何操作时,页面只是显示加载图标,但是数据没有显示,ZAP应用程序中也没有任何记录。有谁能帮我用ZAP工具在android设备上做移动应用程序安全测试吗?
浏览 3提问于2020-07-15得票数 1
我正在使用Jenkins集成提供一个OWASP,但是我面临着这个问题。我用的是码头图像。似乎".py文件丢失了“。要求是通过JENKINS而不是本地运行OWASP zap。
浏览 6提问于2022-08-19得票数 0
1回答
目前,我正在编写一个python脚本,它将为我自动执行zap,所以我不需要进入并手动处理字段或爬行页面。我坚持的部分是,我的脚本目前只能爬行网页登录主页。我如何让它从我的脚本登录,并开始爬行其他网页上的网页应用?
我正在测试来自的示例脚本:
#!/usr/bin/env python3
import time
from pprint import pprint
from zapv2 import ZAPv2
target = 'http://127.0.0.1' # Replace this with your target URL or IP
# Change to m
浏览 0提问于2018-07-12得票数 1
是否可以将两个类映射到同一个表?
class Foo {}
class Bar : Foo {}
class Zap : Bar {}
Foo和Bar是流畅的Nhibernate自动映射在一个会话工厂中。
所有3个类都使用Fluent映射映射到不同的会话工厂中:
class FooMap : Class<Foo> {}
class BarMap : Subclass<Bar> {}
class ZapMap : Subclass<Zap> {
public ZapMap() {
Table("Bar");
浏览 2提问于2012-05-25得票数 1
回答已采纳
我正在使用ZAP Dockerfile image2来扫描应用程序中的漏洞。以下是我的Github操作。
name: CI
on: [push]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v1
- name: run zap
uses: docker://owasp/zap2docker-stable
with:
args: zap-baseline.py -t https://www.example.com
基本上,
浏览 7提问于2019-11-19得票数 5
回答已采纳
我曾经使用M-d删除行中的长子字符串,如:
if ( aaaaa[dddd(d,s,d)] + bbbbbb[ssd] ) {
但我要删除最后一个括号总是让我很烦。例如,要删除第一个术语aaaaa[dddd(d,s,d)],我需要按and 4次和C 2次。
我想知道,是否有一个命令会删除所有的东西,直到一个结束括号,对应于第一个开始括号?
因此,如果光标停留在d,则应该删除整个d;如果从a开始,则删除整个aaaaa[dddd(d,s,d)];如果从行的开头开始,则删除完整的if ( aaaaa[dddd(d,s,d)] + bbbbbb[ssd] )。
原则上,M-d C-space M-C-
浏览 3提问于2013-12-08得票数 0
回答已采纳
1回答
我浏览了OWASP ZAP,我发现ZAP需要web应用程序的端点。但是,我仍然试图提供我们的微服务的REST API的URL,但是我得到了404错误。我认为OWASP ZAP在HTTP GET方法上扫描,不允许POST方法或其他方法。 下面是ZAP的截图:Link to the screenshot of ZAP 我知道有一篇文章是关于rest API测试的,但那篇文章我并不是很清楚,也与微服务无关。请推荐任何更好的开源软件和方法,通过它我们可以轻松地做我们的VAPT测试。 谢谢
浏览 31提问于2019-01-24得票数 0
回答已采纳
1回答
我正在使用zap作为代理,但我似乎找不到一种方法来允许连接到ZAP代理的应用程序流式传输内容。
在另一款名为fiddler 4的应用中,有一个启用流媒体模式的选项。默认情况下,在转发到请求应用程序之前,fiddler 4会完全缓冲从服务器接收到的内容。现在,当下载大小很大,并且请求应用程序需要从服务器立即响应时,这就成了一个问题。现在,fiddler中的流模式通过将内容片段转发到请求应用程序来解决这个问题。Fiddler只在windows上运行,但我使用的是Linux,而且fiddler everywhere仍然缺少我需要的功能。
现在ZAP有了这些功能,但它缓冲了内容。有没有办法让OWASP
浏览 15提问于2020-05-05得票数 0
刚刚安装了OWASPZAP2.7.0。当我尝试运行命令行时,找不到zap.sh。它也不会出现在应用程序文件夹中。
命令: /Applications/OWASP\ ZAP\ 2.app/Contents/Java/zap.sh -quickurl -quickout ~/zapreport.xml -cmd
响应:-bash: /Applications/OWASPZAP2.app/Content/Java/zap.sh:没有这样的文件或目录
MacOS /S 10.13.4用过的安装程序:MacOS安装程序2017-11-28 179 MB
浏览 1提问于2018-05-01得票数 0
我正在对我的目标主机进行zap码头全面扫描。然而,在调试过程中,我发现我错过了向我的web应用程序提供登录信息,而web应用程序也是我的目标主机。步骤如下-
网络应用程序在启动时不登陆登录页面,而是登陆设置应用程序或安装细节等。一旦我们提供了所有细节,然后设置了一些调查问卷,那么登录page.Initially上的应用程序就会在jenkins阶段下运行,在上面的命令zap中运行sh 'docker run -v /<Jenkins Path>/Reports:/zap/wrk/:rw -t docker.io/owasp/zap2docker-stable zap-full
浏览 0提问于2021-02-17得票数 1
3回答
我有一个名单的30个网站,我已经扫描。我需要为每个个人网站提取一份报告。做得到吗?现在,我只是在运行一份报告,并得到所有30项的结果,它只是在一大块数据,我没有时间筛选出来。
浏览 0提问于2014-04-23得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
