我正在尝试执行命令以使用登录名攻击应用程序,但我不知道如何将我的用户名和密码传递给 url。
登录名发送带有用户名和密码的帖子,以验证是否存在。
命令到阿塔克。
docker run --rm -v $(pwd(:/zap/wrk/:rw -t owasp/zap2docker-stable zap-baseline.py -t http://172.31.95.32:8080/myapp/login -g gen.conf -r testreport.html authMethodName : formBasedAuthentication authMethodConfigParams :loginUrl=http://172.31.95.32:8080/myapp/login
你最好在gui模式下运行ZAP并整理你的上下文配置,你可以导出它。然后,您可以在所需的任何 CI 或 CD 进程中导入和重用您的上下文。
zap-baseline.py 就是要完全按照它的名字去做。提供对应用/服务的浅层(仅被动(评估。
有关 ZAP 基线扫描的更多详细信息,请参阅此处:
- https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
- https://blog.mozilla.org/security/2017/01/25/setting-a-baseline-for-web-security-controls/
仅供参考。
我不得不使用 ictu/zap2docker-weekly image 来完成这个目标。
这是带有一些示例的存储库。
https://github.com/ICTU/zap-baseline