OWASP ZAP 执行的扫描类型
Types of scans performed by OWASPZAP
我已经开始使用 OWASPZAP(手动扫描),到目前为止,学习和同步执行一直令人兴奋。
我对我们的应用程序进行了被动扫描,发现了 3 个警报并解释了 描述 / OtherInfo / 解决方案 / 参考如下:
X-Frame-Options Header Not Set:(风险:中,信心:中,参数:X-Frame-Options)Web Browser XSS Protection Not Enabled:(风险:低,信心:中,参数:X-XSS-保护)X-Content-Type-Options Header Missing:(风险:低,置信度:中,参数:X-Content-Type-Options)
我的问题是:
- 有没有办法知道 OWASPZAP 在扫描开始前执行的扫描类型?
- 扫描(手动)是否可配置?
- 是否有任何关于 OWASPZAP(手动)执行的扫描类型的文档?
注意:粗略的问题直接涉及主要用于编程的工具(例如OWASPZAP)。
有一个 wiki 页面涵盖了“ZAPping the top 10”
有许多可用的帮助页面,其中包含各种扫描规则或插件的说明:
主动扫描:
- 发布-
https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/
- 测试版 -
https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-beta/
- 阿尔法 -
https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/
被动扫描:
- 发布-
https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/
- 测试版 -
https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-beta/
- 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-alpha/
您可以在 ZAP 中创建 运行 的独立脚本以获取活动扫描器的详细信息:https://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js。使用每周版本(比 2018 年 3 月上旬更新)或下一个稳定版本(2.8.0 或其他版本),您将能够利用 ExtensionPassiveScan.getPluginPassiveScanners()
对被动扫描规则执行类似的操作
可以通过 Scan Policy Manager Dialog 创建主动扫描策略。可以保存、导出和导入主动扫描策略。
Enabled/disabling 可以通过 Options Passive Scan Rules screen. (A Passive Scan "policy" can be established programmatically as discussed here -> )
完成被动扫描规则
我已经开始使用 OWASPZAP(手动扫描),到目前为止,学习和同步执行一直令人兴奋。
我对我们的应用程序进行了被动扫描,发现了 3 个警报并解释了 描述 / OtherInfo / 解决方案 / 参考如下:
X-Frame-Options Header Not Set:(风险:中,信心:中,参数:X-Frame-Options)Web Browser XSS Protection Not Enabled:(风险:低,信心:中,参数:X-XSS-保护)X-Content-Type-Options Header Missing:(风险:低,置信度:中,参数:X-Content-Type-Options)
我的问题是:
- 有没有办法知道 OWASPZAP 在扫描开始前执行的扫描类型?
- 扫描(手动)是否可配置?
- 是否有任何关于 OWASPZAP(手动)执行的扫描类型的文档?
注意:粗略的问题直接涉及主要用于编程的工具(例如OWASPZAP)。
有一个 wiki 页面涵盖了“ZAPping the top 10”
有许多可用的帮助页面,其中包含各种扫描规则或插件的说明: 主动扫描:
- 发布- https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/
- 测试版 - https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-beta/
- 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/
被动扫描:
- 发布- https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/
- 测试版 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-beta/
- 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-alpha/
您可以在 ZAP 中创建 运行 的独立脚本以获取活动扫描器的详细信息:https://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js。使用每周版本(比 2018 年 3 月上旬更新)或下一个稳定版本(2.8.0 或其他版本),您将能够利用 ExtensionPassiveScan.getPluginPassiveScanners()
可以通过 Scan Policy Manager Dialog 创建主动扫描策略。可以保存、导出和导入主动扫描策略。
Enabled/disabling 可以通过 Options Passive Scan Rules screen. (A Passive Scan "policy" can be established programmatically as discussed here -> )