如何定义我们自己的 ZAP 活动规则?
How to define our own ZAP active rule?
我们想使用 ZAP 来扫描我们网站的漏洞问题
有没有办法为我们的业务定义我们自己的活动规则..?
例如,我们要检查是否有 javascript post 不在白名单中的网站的任何数据...?
所以,也许我们可以在 ZAP 插件中实现此功能,但是如何创建我们自己的 ZAP 插件...?
we want to check is there any javascript post any data to the sites
that are not in the white list ...?
那将是一个被动规则,而不是主动规则。
您可以创建脚本,也可以使用 ZAP 附带的模板。您还可以在此处找到社区示例:https://github.com/zaproxy/community-scripts
还有一组博文可以帮到你:
- https://www.zaproxy.org/blog/2014-04-03-hacking-zap-3-passive-scan-rules/
- https://www.zaproxy.org/blog/2014-04-30-hacking-zap-4-active-scan-rules/
- https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0
主动扫描与被动扫描:
- 被动扫描规则查看通过 ZAP 的流量(代理,
或 spidered,可选的 Fuzzed)而不发出任何请求
他们自己。
- 活动扫描规则 运行 在活动扫描期间并执行
通过更改请求 parameters/details 来引发某些请求
反应或行为的类型。
我们想使用 ZAP 来扫描我们网站的漏洞问题
有没有办法为我们的业务定义我们自己的活动规则..?
例如,我们要检查是否有 javascript post 不在白名单中的网站的任何数据...?
所以,也许我们可以在 ZAP 插件中实现此功能,但是如何创建我们自己的 ZAP 插件...?
we want to check is there any javascript post any data to the sites that are not in the white list ...?
那将是一个被动规则,而不是主动规则。
您可以创建脚本,也可以使用 ZAP 附带的模板。您还可以在此处找到社区示例:https://github.com/zaproxy/community-scripts
还有一组博文可以帮到你:
- https://www.zaproxy.org/blog/2014-04-03-hacking-zap-3-passive-scan-rules/
- https://www.zaproxy.org/blog/2014-04-30-hacking-zap-4-active-scan-rules/
- https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0
主动扫描与被动扫描:
- 被动扫描规则查看通过 ZAP 的流量(代理, 或 spidered,可选的 Fuzzed)而不发出任何请求 他们自己。
- 活动扫描规则 运行 在活动扫描期间并执行 通过更改请求 parameters/details 来引发某些请求 反应或行为的类型。