Owasp Zap 和亚马逊
Owasp Zap and Amazon
我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。
我要在 Amazon EC2 实例上渗透测试 运行 的网站。亚马逊在安全测试方面似乎有一定的要求:
https://aws.amazon.com/security/penetration-testing/
上面的网站说您可以 运行 对 Amazon EC2 实例进行安全测试,但不能对某些安全测试进行测试,例如 DNS 区域遍历、DoS 等。
问题是当我点击“攻击”按钮时,我无法准确地看到 OWASP Zap 会做什么,我显然不想惹恼 AWS!
还有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了什么)?
是的,我做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以 'take out' 不安全或配置不当的应用程序。
如果您获得网站所有者的许可,那么他们希望不会向亚马逊投诉,然后您就没事了。
有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 相关源代码的 link 页面,以便为您提供足够的详细信息 ;)
我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。
我要在 Amazon EC2 实例上渗透测试 运行 的网站。亚马逊在安全测试方面似乎有一定的要求: https://aws.amazon.com/security/penetration-testing/
上面的网站说您可以 运行 对 Amazon EC2 实例进行安全测试,但不能对某些安全测试进行测试,例如 DNS 区域遍历、DoS 等。
问题是当我点击“攻击”按钮时,我无法准确地看到 OWASP Zap 会做什么,我显然不想惹恼 AWS!
还有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了什么)?
是的,我做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以 'take out' 不安全或配置不当的应用程序。 如果您获得网站所有者的许可,那么他们希望不会向亚马逊投诉,然后您就没事了。
有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 相关源代码的 link 页面,以便为您提供足够的详细信息 ;)