语境 :
我们使用 OWASP Zed Attack Proxy 2.7.0 版对应用程序进行漏洞测试。我们收到了一些警报,正在解决问题。
问题 :
我们想挑出一个警告说“Web Browser XSS Protection Not Enabled”并运行验证。
我们正在尝试的解决方案:
我们正在探索的可能性之一是操作模式。我们现在可以执行其中一种操作模式,例如标准、攻击等...。有没有办法自定义操作模式并运行单个警报?
问问题
342 次
1 回答
3
是的,您只需要启用特定的扫描规则并禁用所有其他规则。最简单的方法是在桌面 UI 中配置扫描策略,然后将其导出。然后,您可以将其用于自动扫描。
在这种情况下,警报是被动的。你检查过基线扫描吗?https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
我们在 Mozilla 使用它来每天检查 100 多个网站。您可以轻松生成配置文件,然后使用文本编辑器对其进行更改,以便仅报告您感兴趣的问题。
于 2018-02-01T11:03:34.740 回答