我的要求是使用 TFS DevOps 管道进行“Authenticated Scan”,为此我在 TFS 下添加了“OWASP Zed Attack Proxy Scan”扩展并将任务添加到管道中。我还安装了 OWASP 桌面应用程序(2.10.0),管道在网站上的“未经身份验证模式”下工作正常,但我需要进行“经过身份验证的扫描”,以便工具在登录页面后也可以识别错误/漏洞,如何做到这一点?
问问题
160 次
1 回答
1
首先,您不需要使用 ZAP 桌面应用程序 - ZAP 可以以更适合自动化的多种方式运行 - 请参阅https://www.zaproxy.org/docs/automate/
其次,身份验证可能是一个真正的痛苦 - 应用程序处理它的方式有很多 :( 看看https://www.zaproxy.org/videos-list/上的官方 ZAP 视频- 你可以搜索“Auth " 在标签中将范围缩小到最相关的标签。
于 2021-10-05T15:19:28.150 回答