我正在使用OWASP ZAP扫描Web应用程序。扫描后,我可以将收到的警报导出为PDF文件。此 PDF 文件仅包含警报。问题是我可以在扫描应用程序时获得通过和失败的所有测试的完整列表吗?我知道我可以使用 ZAP 的 API 来获取所有扫描规则,但这不是我真正需要的。我需要一份报告,显示所有通过和失败的测试。像这样:
| 测试名称 | 通过/失败 |
| 测试 nr1 | 已通过 |
| 测试 nr2 | 失败 |
在OWASP ZAP中没有通过测试这样的东西(实际上所有其他安全动态测试工具(。OWASP ZAP 拥有一组攻击媒介,并将它们放入对测试应用程序的不同请求中。当它发现漏洞时 - 很好。它将被报告。如果没有 - 好吧,它什么也没做。没有发现任何东西并不能证明没有漏洞。根本就没有什么可报告的。
话虽如此,最好自己手动查看生成的请求的历史记录,以查看应用程序是否正确完成其工作。另请查看 ZAP 正在访问的 URL。这是您想要测试的吗?让我哭泣的常见错误是渗透测试登录屏幕,因为您没有正确配置身份验证。