如何在 Web 界面上运行 Owasp ZAP
How to working Owasp ZAP on web interface
我不想从桌面应用程序使用它。我需要可在网络上运行的软件。
我想在服务器上使用它。想要使用 ZAP 的人员需要连接到该服务器。
我只能运行桌面应用程序
我们为此制定了计划,也称为 ZAP 即服务 (ZaaS)。由于缺乏贡献者,它的进展没有我们希望的那么快。如果您(或其他任何人)拥有合适的技能并愿意在 ZAP 上工作,那么我们将非常高兴收到您的来信:)
西蒙(ZAP 项目负责人)
您可以遵循的选项之一是在目标上设置 VNC 服务器 (https://archive.realvnc.com/products/vnc/documentation/4.6/unix/man/Xvnc.html) 并授予 user/SSH 为您的用户访问 N 个桌面,以便每个人都可以生成自己的代理- 只要它们不发生端口碰撞。有通过 SSH 隧道提供 VNC 访问的安全建议,因此您需要牢记这一点。还建议禁用 'password' SSH 访问并与具有适当保护的 SSH 身份(即密钥)的用户一起工作。
在等待本机 Web GUI 的同时,您可以像 ZAP 团队在 docker 上使用 Webswing 对 ZAP 所做的那样。
Webswing 允许您通过浏览器使用 Java Swing 应用程序,因此结果将是通过浏览器的 ZAP GUI。
首先,您必须安装 Webswing 和 ZAP,如果您使用的是无头 linux 服务器,则必须安装 xvfb。
其次,您必须通过 Webswing 为 运行 ZAP 创建一个 Webswing 配置文件。你可以使用Webswing提供的configuration file used by the ZAP docker or you can create one using the tutorial
最后,尽情享受吧!
一个可能的选择是 运行 根据官方 wiki 的带有 webswing 的官方容器:https://www.zaproxy.org/docs/docker/webswing/
TLDR;稳定:
docker run -d --name zaproxy -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh
- 访问 http://localhost:8080(http!不是 https!)
Starting with version 2.5.0 you can run the ZAP Desktop UI in your
browser without having to install Java, thanks to the magic of Docker
and Webswing
To do this you will just need Docker installed. Start the container
with webswing support:
Stable: docker run -u zap -p 8080:8080 -p 8090:8090 -i
owasp/zap2docker-stable zap-webswing.sh
Weekly: docker run -u zap -p
8080:8080 -p 8090:8090 -i owasp/zap2docker-weekly zap-webswing.sh Then
point your browser at:
http://localhost:8080/zap You will then see the familiar ZAP splash
screen while ZAP starts up.
我不想从桌面应用程序使用它。我需要可在网络上运行的软件。
我想在服务器上使用它。想要使用 ZAP 的人员需要连接到该服务器。
我只能运行桌面应用程序
我们为此制定了计划,也称为 ZAP 即服务 (ZaaS)。由于缺乏贡献者,它的进展没有我们希望的那么快。如果您(或其他任何人)拥有合适的技能并愿意在 ZAP 上工作,那么我们将非常高兴收到您的来信:)
西蒙(ZAP 项目负责人)
您可以遵循的选项之一是在目标上设置 VNC 服务器 (https://archive.realvnc.com/products/vnc/documentation/4.6/unix/man/Xvnc.html) 并授予 user/SSH 为您的用户访问 N 个桌面,以便每个人都可以生成自己的代理- 只要它们不发生端口碰撞。有通过 SSH 隧道提供 VNC 访问的安全建议,因此您需要牢记这一点。还建议禁用 'password' SSH 访问并与具有适当保护的 SSH 身份(即密钥)的用户一起工作。
在等待本机 Web GUI 的同时,您可以像 ZAP 团队在 docker 上使用 Webswing 对 ZAP 所做的那样。
Webswing 允许您通过浏览器使用 Java Swing 应用程序,因此结果将是通过浏览器的 ZAP GUI。
首先,您必须安装 Webswing 和 ZAP,如果您使用的是无头 linux 服务器,则必须安装 xvfb。
其次,您必须通过 Webswing 为 运行 ZAP 创建一个 Webswing 配置文件。你可以使用Webswing提供的configuration file used by the ZAP docker or you can create one using the tutorial
最后,尽情享受吧!
一个可能的选择是 运行 根据官方 wiki 的带有 webswing 的官方容器:https://www.zaproxy.org/docs/docker/webswing/
TLDR;稳定:
docker run -d --name zaproxy -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh
- 访问 http://localhost:8080(http!不是 https!)
Starting with version 2.5.0 you can run the ZAP Desktop UI in your browser without having to install Java, thanks to the magic of Docker and Webswing
To do this you will just need Docker installed. Start the container with webswing support:
Stable: docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh
Weekly: docker run -u zap -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-weekly zap-webswing.sh Then point your browser at:
http://localhost:8080/zap You will then see the familiar ZAP splash screen while ZAP starts up.