OWASP ZAP:持續集成中的活動掃描儀
[英]OWASP ZAP: Active Scanner in Continuos Integration
問題描述
嘗試在持續集成(CI)設置中使用ZAP(2.4.3)。 我可以將ZAP作為守護程序運行,通過使用ZAP作為代理來運行我的所有Selenium測試(在Java中),然后能夠使用REST API調用htmlreport以獲得被動掃描程序的最終報告。 這工作正常,但我也想使用活動掃描儀。
ZAP的文檔中多次提到在CI中使用Active Scanner,但尚未找到任何可行的示例或相關教程...是否存在?
我要實現的目標是: 完成Selenium回歸套件訪問的所有頁面上運行Active Scanner。
試圖看一下ZAP的REST api,但是大部分沒有記載:
https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index
理想情況下,具有以下內容將是很棒的:
- 在所有訪問的URL上異步啟動Active Scan
- 輪詢以檢查Active Scan運行是否完成
在REST API中,似乎有一些相關的內容,但是:
-
ascan/scan需要一個URL作為輸入。 可以調用core/urls來查看Selenium測試訪問了什么,但是然后如何設置正確的身份驗證(記錄憑據)? 如果訪問網址的順序很重要怎么辦? 如果只能使用特定的憑證訪問頁面怎么辦? - 這里有一個
ascan/scanAsUser,但是還不清楚如何從ZAP檢索contextId和userId。 一個麻煩的解決方法是修改Selenium測試以在磁盤上寫入他們訪問的url以及他們正在使用的日志記錄/密碼憑據,然后在所有測試完成后從磁盤讀取此類信息以調用ZAP。 有沒有更簡單的方法?
1 個解決方案
解決方案1
2 已采納 2016-01-07 20:41:09
好,所以這里有很多問題:)
ZAP通常會掃描URL的層次結構,例如https://www.example.com/app下的所有內容都是應用程序的頂級URL。 我們有點假設您知道那會是什么;)
身份驗證不容易處理,請參閱https://github.com/zaproxy/zaproxy/wiki/FAQformauth
ascan / status調用返回已完成的%
對於此類問題,您可能會發現ZAP用戶組http://groups.google.com/group/zaproxy-users更好。 但是,是的,我們確實需要改進API文檔:/
干杯,
Simon(ZAP項目負責人)
如何使用 Chrome webdriver 和 java 啟動 OWASP ZAP 代理?
[英]How to start OWASP ZAP proxy with Chrome webdriver and java?
如何使用 OWASP ZAP 的 spiderViewStatus Java API 來獲取 Spider 完成工作的狀態/百分比?
[英]How to use the spiderViewStatus Java API of OWASP ZAP to get the status/percentage of work done by the Spider?
我如何告訴org.apache.http.impl.client.DefaultHttpClient使用OWASP Zed攻擊代理(ZAP)
[英]How do I tell org.apache.http.impl.client.DefaultHttpClient to use the OWASP Zed Attack Proxy (ZAP)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
OWASP ZAP 代理凍結
使用 OWASP Zap Api 進行掃描
owasp zap 如何檢查發布請求的漏洞
JAVA Owasp Zap SOAP XML 注入
在安裝了 OpenJDK 11 的情況下啟動 OWASP ZAP 時出現問題
使用Java設置硒中的Owasp Zap驅動程序
如何使用 Chrome webdriver 和 java 啟動 OWASP ZAP 代理?
如何在ZAP中配置主動掃描輸入向量?
如何使用 OWASP ZAP 的 spiderViewStatus Java API 來獲取 Spider 完成工作的狀態/百分比?
我如何告訴org.apache.http.impl.client.DefaultHttpClient使用OWASP Zed攻擊代理(ZAP)
相關標簽