如何在 Github 工作流程中将 OWASP ZAP ajax 扫描到 运行?
How do I get OWASP ZAP ajax scan to run in Github Workflow?
我有一个正在运行的 OWASP Zap 工作流程,我正在尝试通过添加“-j”来添加 ajax 扫描,因此:
uses: zaproxy/action-full-scan@v0.2.0
with:
target: "https://example.com/"
cmd_options:
# use the Ajax spider in addition to the traditional one
"-j"
这会运行,但我假设会创建一个额外的报告(没有)并且日志中唯一提到的 ajax 是:
WARNING: Illegal reflective access by com.google.inject.internal.cglib.core.$ReflectUtils
(file:/root/.ZAP/plugin/spiderAjax-release-23.3.0.zap) to method
java.lang.ClassLoader.defineClass(java.lang.String,byte[],int,int,java.security.ProtectionDomain)
看起来像是一个权限问题,但我不知道如何解决它,即使它就是问题所在。
这只是一个警告 - 您可以忽略它。我们计划在适当的时候解决这个问题。
如果您使用 Ajax Spider,ZAP 将不会生成额外的报告,但如果 Ajax Spider 找到更多 URL,它可能会包含更多信息。
我有一个正在运行的 OWASP Zap 工作流程,我正在尝试通过添加“-j”来添加 ajax 扫描,因此:
uses: zaproxy/action-full-scan@v0.2.0
with:
target: "https://example.com/"
cmd_options:
# use the Ajax spider in addition to the traditional one
"-j"
这会运行,但我假设会创建一个额外的报告(没有)并且日志中唯一提到的 ajax 是:
WARNING: Illegal reflective access by com.google.inject.internal.cglib.core.$ReflectUtils
(file:/root/.ZAP/plugin/spiderAjax-release-23.3.0.zap) to method
java.lang.ClassLoader.defineClass(java.lang.String,byte[],int,int,java.security.ProtectionDomain)
看起来像是一个权限问题,但我不知道如何解决它,即使它就是问题所在。
这只是一个警告 - 您可以忽略它。我们计划在适当的时候解决这个问题。
如果您使用 Ajax Spider,ZAP 将不会生成额外的报告,但如果 Ajax Spider 找到更多 URL,它可能会包含更多信息。