0

我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。

我要测试的网站在 Amazon EC2 实例上运行。亚马逊在安全测试方面似乎有一定的要求: https ://aws.amazon.com/security/penetration-testing/

上面的网站说您可以在 Amazon EC2 实例上运行安全测试,但不能在某些测试上运行,例如 DNS 区域遍历、DoS 等,这很公平。

问题是当我单击“攻击”按钮时,我无法确切看到 OWASP Zap 会做什么,而且我显然不想让 AWS 感到不安!

有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了一些东西)?

4

1 回答 1

2

是的,我已经做到了。ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以“淘汰”不安全或配置不当的应用程序。如果您获得了网站所有者的许可,那么他们希望他们不会向亚马逊投诉,然后您就可以了。

有关 ZAP 使用的扫描规则的详细信息,请参阅https://www.zaproxy.org/docs/alerts/ - 这些页面链接到相关源代码,以便为您提供足够的详细信息;)

于 2021-06-10T07:50:53.383 回答