我已经开始使用OWASPZAP(手动扫描(,到目前为止,学习和同时执行一直令人兴奋。
我对我们的应用程序进行了被动扫描,发现了3个警报,并解释了描述/其他信息/解决方案/参考
,如下所示:X-Frame-Options Header Not Set
: (风险:中等,- 置信度:中等,参数:X 帧选项(
Web Browser XSS Protection Not Enabled
: (风险: 低, 置信度: 中, 参数: X-XSS 保护(X-Content-Type-Options Header Missing
:(风险:低,置信度:中,参数:X 内容类型选项(
我的问题是:
- 有没有办法知道OWASPZAP在扫描开始之前将执行的扫描类型?
- 扫描(手动(是否可配置?
- 是否有关于OWASPZAP(手动(执行的扫描类型的文档?
注意:粗略的问题直接涉及主要用于编程的工具(例如OWASPZAP(。
有一个维基页面涵盖了"ZAPping the top 10">
有许多帮助页面提供了各种扫描规则或插件的描述: 主动扫描:
- 释放- https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/
- 试用版- https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-beta/
- 阿尔法- https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/
被动扫描:
- 释放- https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/
- 试用版- https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-beta/
- 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-alpha/
可以创建要在 ZAP 中运行的独立脚本,以获取活动扫描程序的详细信息:https://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js。使用每周版本(比 2018 年 3 月初更新(或下一个稳定版本(2.8.0 或其他版本(,您将能够利用被动扫描规则执行类似操作ExtensionPassiveScan.getPluginPassiveScanners()
可以通过"扫描策略管理器"对话框创建主动扫描策略。可以保存、导出和导入主动扫描策略。
启用/禁用被动扫描规则可以通过"选项被动扫描规则"屏幕完成。(被动扫描"策略"可以通过编程方式建立,如此处所述 -> https://stackoverflow.com/a/51288461/7718222(