>我使用命令创建了一个Zap容器(在docker内部(
docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap-x.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config api.key=
使用正确的 api 密钥。围栏已经准备好了。
我制作了我的本机应用程序,它也在 docker 上运行,通过 Zap 容器代理所有 html 通信。我的目标是让Zap被动地分析所有安全问题。
问题是如何在不使用 UI 的情况下从此 ZAP 容器中检索被动扫描程序的数据?为被动结果生成报告的命令是什么?
主动或被动扫描(脚本、插件等(或完整报告生成的警报可以通过 Zap 的 API 检索: https://github.com/zaproxy/zaproxy/wiki/ApiDetails
相关的 API 端点包括(但不一定限于(:
- 警报/
- 查看/警报摘要/
- alert/view/alertsByRisk/ 警报/
- 查看/警报/ alert/
- view/alertCountsByRisk/
- 核心/其他/html报告/
- 核心/其他/JSON 报告/
- 核心/其他/MD报告/
- 核心/其他/XML报告/
- 核心/视图/警报/
- 核心/视图/警报摘要/
python 和 java API github 存储库中都有示例 API 使用程序。还有许多关于通过其 API 将 ZAP 用于各种自动化方案的公共博客文章、文章和视频。(所有这些都只是一个快速的网络搜索。