[英]OWASP ZAP: Active Scanner in Continuos Integration
嘗試在持續集成(CI)設置中使用ZAP(2.4.3)。 我可以將ZAP作為守護程序運行,通過使用ZAP作為代理來運行我的所有Selenium測試(在Java中),然后能夠使用REST API調用htmlreport
以獲得被動掃描程序的最終報告。 這工作正常,但我也想使用活動掃描儀。
ZAP的文檔中多次提到在CI中使用Active Scanner,但尚未找到任何可行的示例或相關教程...是否存在?
我要實現的目標是: 完成Selenium回歸套件訪問的所有頁面上運行Active Scanner。
試圖看一下ZAP的REST api,但是大部分沒有記載:
https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index
理想情況下,具有以下內容將是很棒的:
在REST API中,似乎有一些相關的內容,但是:
ascan/scan
需要一個URL作為輸入。 可以調用core/urls
來查看Selenium測試訪問了什么,但是然后如何設置正確的身份驗證(記錄憑據)? 如果訪問網址的順序很重要怎么辦? 如果只能使用特定的憑證訪問頁面怎么辦? ascan/scanAsUser
,但是還不清楚如何從ZAP檢索contextId
和userId
。 一個麻煩的解決方法是修改Selenium測試以在磁盤上寫入他們訪問的url以及他們正在使用的日志記錄/密碼憑據,然后在所有測試完成后從磁盤讀取此類信息以調用ZAP。 有沒有更簡單的方法? 好,所以這里有很多問題:)
ZAP通常會掃描URL的層次結構,例如https://www.example.com/app下的所有內容都是應用程序的頂級URL。 我們有點假設您知道那會是什么;)
身份驗證不容易處理,請參閱https://github.com/zaproxy/zaproxy/wiki/FAQformauth
ascan / status調用返回已完成的%
對於此類問題,您可能會發現ZAP用戶組http://groups.google.com/group/zaproxy-users更好。 但是,是的,我們確實需要改進API文檔:/
干杯,
Simon(ZAP項目負責人)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.