标签: zap

如何将身份验证详细信息传递给ZAP工具以扫描网站.请帮我解决问题.

我有一个 SPA 应用程序（angularjs 前端/restfull WebAPI 后端）。SPA 是使用客户端路由的设计 - 即典型的“页面”看起来像

http://contosco.com#/page1

http://contosco.com#/page2

.. 等等

我知道 ZAP 具有“ajax spidering”模式，在该模式下它可以“​​从 javascript”获取网址。然而，主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以用于这种情况 - 还是我错了？

我们的客户要求我们针对我们的 Web 应用程序（ASP.NET 4.5.2、Webforms）运行 OWASP ZAP 工具，我们无法在报告中找到任何高优先级的发现。

我们已经完成了分析，OWASP ZAP 报告了两个最有可能是“误报”的漏洞：

• 远程操作系统命令执行
• SQL注入

远程操作系统命令执行似乎是假的，因为我们没有在任何地方执行任何操作系统命令——那么攻击者怎么能得到我们的代码在远程机器上执行他的命令呢？

而且 SQL 注入看起来非常虚假，因为我们到处都使用实体框架，它使用正确参数化的查询，这是针对任何 SQL 注入的黄金标准......

其他人是否对 OWASP ZAP 有过这种“误报”？是否有任何“已知问题”记录在任何地方，我们可以用来证明该工具是错误的——而不是我们的代码？

我刚刚开始使用Zap,并且已成功在Firefox和Chrome中运行它.

我想用它来自动为非https网站提供SSL证书.

所以,例如,我希望它能够服务

http://example.com

如

https://example.com

即使example.com通常不提供SSL证书.

这将允许我测试本地开发站点,而无需为它们创建自签名证书,或者必须使用Web服务器配置证书.

我试图将我的开发端口(18000)移植到端口443,但我的网络服务器没有提供SSL证书,连接失败.我也试过这个与sni终结者 zap插件没有运气,虽然它感觉它是超级接近!

有什么建议？

我已经安装了 OWASP ZAP 2.8.0 并完全扫描了我们的网站。结果我们得到了一些 SQL 注入 URL 或页面。所以我们已经修复了开发中提到的 OWASP 工具中的 SQL 注入问题。

1. 如何在 OWASP 中扫描特定页面或 URL？

   例子：

   我们对http://www.samples.com进行了全面扫描，结果我们得到的以下 URL 是可能的 SQL 注入。 http://www.samples.com/sales

   因此，在开发过程中，我们仅针对此页面提供了一些修复。如果我们再次扫描http://www.samples.com/sales进行检查。它扫描我们的完整网站。需要2天以上才能完成。如何在 OWASP 中扫描特定页面或 URL？

   我已经尝试过这个 - https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsImporturlsImportUrls但不起作用。

   谢谢，

要求是对需要在 Azure DevOps 发布管道中进行身份验证的网站执行 OWASP ZAP 扫描。无法找到对经过身份验证的网页执行此操作的方法。请指导我。我可以从 Azure DevOps 市场找到使用 OWASP ZAP 扫描仪扩展的方法，但无法找到有关如何在管道中使用身份验证进行配置的正确说明。

提前致谢。

我已经开始学习 OWASP ZAP，但我对 OWASP ZAP 中的被动扫描感到困惑。

右键单击站点树中的节点时，我没有看到任何被动扫描选项，但是在工具 | 选项 我能够看到被动扫描规则。

1. 如何在 OWASP ZAP 中运行被动扫描？
2. 快速入门中的“攻击网址”是否与爬取后的主动扫描相同

谢谢

可以通过 OWASP ZAP 测试 rest-api 吗？攻击的 URL 仅适用于 GET 请求。

例如，我的 api 控制器仅使用令牌。我有 TokenController，这个控制器需要通过 JSON 数据发送 POST 数据，包括密码和登录名。我可以通过 OWASP 以某种方式测试这个控制器吗？

我是ZAP的新手,我仍在浏览文档和视频.

我的情景:

我导航到登录页面.我输入了一个密码错误的已知用户名.ZAP选择这个没问题.

我选择POST到登录页面.我找到包含用户名和密码的行.密码:ctl00%24ContentPlaceHolder1%24cpLoginAspx%24ctl00%24LoginControl1%24LTLogin%24Password = 12345&

我突出显示12345并右键单击以选择Fuzz.我已经为测试帐户输入了一个包含正确密码的自定义列表,我选择了该密码.

当我这样做时,它按照我的预期在列表中运行.将12345更改为列表中的各种选项.

但是,当它知道"我知道"这个词是正确的密码时.提醒我这是正确的,没有什么不同.在这种情况下,密码是Password5.我预计它会反映或显示它被引导到新页面.但是,对于测试用户来说,"密码"会发生这种情况.

我在Fuzzer选项卡中看到了这个:

任何建议或澄清将不胜感激.即使您可以在ZAP上推荐一些视频或阅读.

谢谢!

我知道一种方法是使用“https://dzone.com/articles/automate-zap-security-tests-with-selenium-webdrive-1”

但是是否有直接命令可以通过 OWASP ZAP 扫描我们的 selenium 应用程序执行情况？

1. 在后台运行代理的 OWASP ZAP。
2. 执行我们独立的selenium脚本来执行。（特别是涵盖登录）。
3. 如果可能的话，进行蜘蛛收集，否则收集报告。

我认为这应该是一个完整的项目。很少有网站可以公开访问或无需登录。