如何使用 OWASP ZAP 基线扫描进行身份验证
How to authenticate with OWASP ZAP baseline scan
我正在尝试 运行 在使用身份验证的网站上使用 OWASP ZAP 进行基线扫描。它使用基于 JSON 的身份验证。但是当我 运行 它时,我在结果中看到它没有登录。
我运行是这样的:
docker run -v C:/ZAP/:/zap/wrk owasp/zap2docker-weekly zap-baseline.py -t https://myaddress.com -n somecontext.context -z "-config forcedUser.setForcedUserModeEnabled=true"
这是我做的手动测试。
- 以 GUI 模式运行 ZAP
- 导入的上下文
- 已通过单击按钮
打开"Forced User Mode"
- 已运行自动扫描。它起作用了,所以我认为上下文没问题
docker 安装 (-v) 似乎也可以。当我添加 -r report.xml 时,我可以在 zap 完成后在 C:/ZAP/ 中看到报告。
基线扫描与描述的有限特征基线完全相同:https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
ICTU有支持auth的基线扫描的第三方修改:https://github.com/ICTU/zap-baseline
我正在尝试 运行 在使用身份验证的网站上使用 OWASP ZAP 进行基线扫描。它使用基于 JSON 的身份验证。但是当我 运行 它时,我在结果中看到它没有登录。
我运行是这样的:
docker run -v C:/ZAP/:/zap/wrk owasp/zap2docker-weekly zap-baseline.py -t https://myaddress.com -n somecontext.context -z "-config forcedUser.setForcedUserModeEnabled=true"
这是我做的手动测试。
- 以 GUI 模式运行 ZAP
- 导入的上下文
- 已通过单击按钮 打开"Forced User Mode"
- 已运行自动扫描。它起作用了,所以我认为上下文没问题
docker 安装 (-v) 似乎也可以。当我添加 -r report.xml 时,我可以在 zap 完成后在 C:/ZAP/ 中看到报告。
基线扫描与描述的有限特征基线完全相同:https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
ICTU有支持auth的基线扫描的第三方修改:https://github.com/ICTU/zap-baseline