-1

我使用命令创建了一个 Zap 容器(在 docker 内)

docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap-x.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name=.* -config api.addrs。 addr.regex=true -config api.key=

使用正确的 api 密钥。容器已启动并正常。

我制作了我的本机应用程序,它也在 docker 上运行,通过 Zap 容器代理所有 html 通信。我的目标是 Zap 被动地分析所有流量以解决安全问题。

问题是如何在不使用 UI 的情况下从这个 ZAP 容器中检索被动扫描仪的数据?生成被动结果报告的命令是什么?

4

1 回答 1

0

主动或被动扫描(脚本、插件等)或完整报告生成的警报可以通过 Zap 的 API 检索:https ://github.com/zaproxy/zaproxy/wiki/ApiDetails

相关 API 端点包括(但不一定限于):

  • alert/view/alerts总结/
  • 警报/查看/alertsByRisk/
  • 警报/查看/警报/
  • 警报/查看/alertCountsByRisk/
  • 核心/其他/htmlreport/
  • 核心/其他/jsonreport/
  • 核心/其他/mdreport/
  • 核心/其他/xmlreport/
  • 核心/视图/警报/
  • 核心/视图/警报总结/

python 和 java API github repos 中都有示例 API 使用程序。还有很多关于通过其 API 将 ZAP 用于各种自动化场景的公共博客文章、文章和视频。(所有这些都只是一个快速的网络搜索。)

于 2019-06-19T19:55:34.303 回答