OWASP Zap Docker 扫描抓取范围外的项目
OWASP Zap Docker scan spidering out-of-scope items
当使用 docker run -t owasp/zap2docker-stable zap-baseline.py -t https://10.1.2.3/zapwave
开始扫描时,蜘蛛程序将返回到根 URL https://10.1.2.3
并继续扫描超出范围的项目。例如 /ghost, /mono, /webgoat
是否可以将扫描范围限制在指定目录或以下目录?此示例中的 Web 应用程序是 OWASP DWVA。
您还没有向它传递一个上下文文件,它将从中限制范围。
基线扫描文档在此处:
https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
您可能特别关心:
-n context_file context file which will be loaded prior to spidering the target
您或许还应该看看:
https://blog.mozilla.org/security/2017/01/25/setting-a-baseline-for-web-security-controls/
此外,在尝试将其用于自动化之前,从 GUI 配置、测试和导出上下文可能是最简单的方法。
当使用 docker run -t owasp/zap2docker-stable zap-baseline.py -t https://10.1.2.3/zapwave
开始扫描时,蜘蛛程序将返回到根 URL https://10.1.2.3
并继续扫描超出范围的项目。例如 /ghost, /mono, /webgoat
是否可以将扫描范围限制在指定目录或以下目录?此示例中的 Web 应用程序是 OWASP DWVA。
您还没有向它传递一个上下文文件,它将从中限制范围。
基线扫描文档在此处: https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
您可能特别关心:
-n context_file context file which will be loaded prior to spidering the target
您或许还应该看看: https://blog.mozilla.org/security/2017/01/25/setting-a-baseline-for-web-security-controls/
此外,在尝试将其用于自动化之前,从 GUI 配置、测试和导出上下文可能是最简单的方法。