security - OWASPZAP 执行的扫描类型

Question

我已经开始使用 OWASPZAP（手动扫描），到目前为止，学习和同步执行一直令人兴奋。

我对我们的应用程序进行了被动扫描，发现了 3 个警报并解释了描述/其他信息/解决方案/参考，如下所示：

• X-Frame-Options Header Not Set：（风险：中等，信心：中等，参数：X-Frame-Options）
• Web Browser XSS Protection Not Enabled：（风险：低，信心：中，参数：X-XSS-Protection）
• X-Content-Type-Options Header Missing：（风险：低，置信度：中，参数：X-Content-Type-Options）

我的问题是：

• 有没有办法知道 OWASPZAP 在扫描开始之前将执行的扫描类型？
• 扫描（手动）是否可配置？
• 是否有关于 OWASPZAP（手动）执行的扫描类型的任何文档？

注意：粗略的问题直接涉及主要用于编程的工具（例如 OWASPZAP）。

Answer 1

有一个 wiki 页面涵盖了“ ZAPping the top 10 ”

有许多帮助页面描述了各种扫描规则或插件： 主动扫描：

• 发布 - https://www.zaproxy.org/docs/desktop/addons/active-scan-rules/
• 测试版 - https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-beta/
• 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/active-scan-rules-alpha/

被动扫描：

• 发布 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules/
• 测试版 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-beta/
• 阿尔法 - https://www.zaproxy.org/docs/desktop/addons/passive-scan-rules-alpha/

您可以创建一个独立脚本以在 ZAP 中运行以获取活动扫描器的详细信息：https ://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js 。使用每周发布（比 2018 年 3 月上旬更新）或下一个稳定版本（2.8.0 或其他），您将能够利用被动扫描规则执行类似的操作ExtensionPassiveScan.getPluginPassiveScanners()

可以通过扫描策略管理器对话框创建活动扫描策略。可以保存、导出和导入主动扫描策略。
启用/禁用被动扫描规则可以通过选项被动扫描规则屏幕来完成。（可以通过编程方式建立被动扫描“策略”，如此处所述-> https://stackoverflow.com/a/51288461/7718222）