我是一名在公司实习的年轻学生(也是安全领域的纯粹初学者(。我的公司要求我在他们的网络应用程序上使用zap-owasp进行安全测试。我想知道运行最佳主动扫描的推荐输入矢量是什么?我已经尝试过用尽可能多的选项运行几次活动扫描,但它永远不会完成,因为第一步需要几个小时,也永远不会结束,因为我让它在晚上运行,当我回来时,它已经停止了。我做了很多研究,我没有觉得我发现的网站停留在关于主动扫描输入矢量的解释上。在论坛上,人们似乎更多地谈论通过API的输入向量。在我的情况下,通过API是否更为优化?
感谢您的关注,我希望你能给我建议!
TBH输入向量不是我要开始的第一个地方。你首先需要了解ZAP为什么要花这么长时间。不久前,我写了一篇关于这一点的博客,现在仍然很有意义:https://blog.mozilla.org/security/2013/07/10/how-to-speed-up-owasp-zap-scans/
你的网站真的很大吗?还是只包含了很多数据驱动的内容。扫描100或1000页后面实际上有相同代码的页面没有意义。我们还有一个ZAP用户组,您应该在该组上获得更快、更有针对性的建议https://groups.google.com/group/zaproxy-users
我使用OWASP ZAP的经验是,与Burp相比,该工具速度较慢,并且在测试耗时较长时存在内存处理问题。在启动活动扫描时,您可以选择技术和服务器/DB类型,但如果测试的应用程序很大,这可能不会有帮助。我宁愿把最重要的部分切成更小的部分,比如:
- 选择要测试的应用程序的一个对话框
- 手动点击对话框中的所有内容
- 运行主动扫描并分析输出
- 执行手动测试以确认发现的错误
- 回到第1点,除非没有更多的测试内容
- 合并测试结果
您还应该查看生成的流量,以验证OWASP ZAP是否正确运行,以及生成的有效负载是否有意义。一个常见的错误是针对未经身份验证的应用程序运行OWASP ZAP,或者在测试过程中丢失了身份验证令牌。发生这种情况后,测试就没有任何意义了。