小贝子编程

如何定义我们自己的 ZAP 活动规则?



我们希望使用 ZAP 扫描我们的网站漏洞问题

有没有办法为我们的业务定义我们自己的活动规则..?

例如,我们想检查是否有任何 JavaScript 将任何数据发布到不在白名单中的站点......?

所以,也许我们可以在 ZAP 插件中实现这个功能,但是如何创建我们自己的 ZAP 插件......?

我们想检查是否有任何JavaScript将任何数据发布到站点 不在白名单中...?

这将是一个被动的规则,而不是一个主动的规则。

您可以创建为脚本,ZAP 附带一些模板。您还可以在此处找到社区示例:https://github.com/zaproxy/community-scripts

还有一组博客文章可以帮助您:

  • https://www.zaproxy.org/blog/2014-04-03-hacking-zap-3-passive-scan-rules/
  • https://www.zaproxy.org/blog/2014-04-30-hacking-zap-4-active-scan-rules/
  • https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0

主动扫描与被动扫描:

  • 被动扫描规则在流量通过 ZAP(代理、 或爬虫,可选模糊(,不提出任何请求 他们自己。
    • 主动扫描
  • 规则在主动扫描期间运行,并且确实会 通过更改请求参数/详细信息来引发某些请求 响应或行为的类型。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium