问题标签 [zap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
5670 浏览

owasp - 如果 URL 以 https 开头,OWASP Zaproxy 不能攻击 URL

我正在使用 OWASP ZAP 工具(2.4.2 版)。问题是如果我选择攻击具有 https 的 URL,它总是显示“攻击 URL 失败”。如果我输入的网址不是 https,它可以正常工作。

如何使其能够与 https 一起使用?

0 投票
1 回答
8461 浏览

configuration - 在公司代理后面使用 OWASP ZAP

有没有办法在公司代理后面使用 ZAP?即我想将我的浏览器配置为使用 ZAP 提供的本地代理,然后 ZAP 应该通过我们的全局代理发送请求:

即使 ZAP 不支持 NTLM 代理也很高兴知道,因为我也在本地为那些无法正确处理身份验证的应用程序运行 CNTLM。

(我尝试寻找解决方案,但当然不可能找到与名称中包含“代理”的应用程序的代理有关的任何事情......:/)

0 投票
1 回答
858 浏览

jenkins - ZAP_2.4.2_Core.tar.gz 安装失败

这是我在这里的第一篇文章,所以请原谅我犯了任何错误。

我尝试在 Jenkins 中安装 ZAProxy 插件。

我通过根据网站https://wiki.jenkins-ci.org/display/JENKINS/ZAProxy+Plugin插入值来安装自定义工具插件。

之后,我在 Jenkins Job 中执行 ZAProxy:

我的工作配置

执行构建后,我看到以下错误:

我只是找不到有关此错误的任何信息,我相信它可以帮助其他必须在未来使用此插件的新手。请帮我。是我公司的詹金斯,所以我必须隐瞒内部信息。我用红色为你透支。

0 投票
1 回答
1740 浏览

java - OWASP ZAP:Continuos 集成中的主动扫描器

尝试在持续集成 (CI) 设置中使用 ZAP (2.4.3)。我可以将 ZAP 作为守护程序运行,使用 ZAP 作为代理运行我所有的 Selenium 测试(在 Java 中),然后能够使用 REST api 调用htmlreport来获得被动扫描器的最终报告。这很好用,但我也想使用 Active Scanner。

在 ZAP 的文档中多次提到在 CI 中使用 Active Scanner,但没有找到任何关于它的工作示例或教程……是否存在?

我想要实现的是:一旦完成运行,就在 Selenium 回归套件访问的所有页面上运行 Active Scanner。

试图查看 ZAP 的 REST api,但大多没有记录:

https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index

理想情况下,有这样的东西会很棒:

  • 在所有访问的 url 上异步启动 Active Scan
  • 轮询以检查 Active Scan 运行是否已完成

在 REST api 中似乎有一些相关的东西,但是:

  • ascan/scan需要一个 url 作为输入。可以调用core/urls查看 Selenium 测试访问过的内容,但是如何设置正确的身份验证(日志凭证)?如果访问 url 的顺序很重要怎么办?如果页面只能通过特定的凭据访问怎么办?
  • 有一个ascan/scanAsUser,但不清楚如何contextId以及userId可以从 ZAP 中检索。一个麻烦的解决方法是修改 Selenium 测试以在磁盘上写入他们访问的 url 以及他们正在使用的日志记录/密码凭据,然后,一旦所有测试完成,从磁盘读取此类信息以调用 ZAP。有没有更简单的方法?
0 投票
1 回答
2560 浏览

selenium - 在 chromedriver (Selenium) 中导入根 CA

我已经尝试并搜索了几乎所有内容,但在运行我的 Selenium 测试时仍然没有找到将根 CA 导入 chromedriver 的答案。

小背景信息:我正在使用 Selenium 和 chromedriver 运行回归测试。我的目标是让这些功能测试通过 Zed Attack Proxy。由于 web 应用程序使用 https,我需要在 chromedriver 中导入 Zed Attack 代理证书,因此它会信任 Zed Attack Proxy 来解密经过的请求。

仅供参考,这个问题不能通过忽略证书错误来解决,因为这不会解密请求而只是忽略它。

任何帮助表示赞赏!

0 投票
1 回答
2208 浏览

security - OWASP Zed 攻击代理设置错误,连接重置

我正在尝试使用 Firefox 设置 Zed 攻击代理来扫描我的 Web 应用程序。出于某种原因,他们指南中的以下步骤不起作用:https ://youtu.be/Xp_PBH7wjiw

Firefox 不断给出“连接已重置”错误。不过,这不仅适用于我的网站,如果没有它,我什至无法打开 google.com,因为连接被重置错误。任何帮助,将不胜感激。

0 投票
2 回答
920 浏览

python - OWASP ZAP python API错误运行脚本

我想使用 python-owasp-zap api。我下载并安装了 python-owasp-zap 所需的所有存储库。当我运行网站https://github.com/zaproxy/zaproxy/wiki/ApiPython中给出的示例代码时,我收到以下错误,请帮助我。

然后,我尝试从 status 方法中删除括号:

我收到以下错误:

非常感谢您帮助纠正错误。

0 投票
2 回答
927 浏览

php - zaproxy scan report solution in PHP

I am using zaproxy for automatic testing of my site. There is a P1 alert in the scan report. I dont know how to rectify this err. Can someone please help me out:-

0 投票
0 回答
1137 浏览

selenium - Selenium 和 Cucumber 代理设置(cucumber.xml 或 CucumberRunner)

尝试通过属性在 Cucumber 中设置代理(到 OWASP ZAP 代理端口),但不可用。

黄瓜.xml

我也可以在 CucumberRunner 中设置,但不知道怎么设置。

有人知道如何以及在哪里正确设置吗?

使用 Selenium 和 Webdriver 我可以这样做:

但是如何用 Cucumber 实现这一点?我想用 Cucumber,因为里面已经写好了测试。

谢谢,

0 投票
1 回答
678 浏览

proxy - 使用 OWASP Zap 代理的 Websocket 问题

我使用 zap 2.4.3,但我没有收到 websocket 流量,似乎它只阻止 websocket 数据包,而 http 和 https 通过代理正确交叉。为了允许它,需要配置一些东西吗?

我的系统是:

  • ZAP 2.4.3
  • 科学Linux 6.7
  • java 版本“1.8.0_20-ea”Java(TM) SE 运行时环境(构建 1.8.0_20-ea-b05)Java HotSpot(TM) 64 位服务器 VM(构建 25.20-b05,混合模式)
  • Firefox 44.0.2(我也试过 Opera 35)

如果我不使用代理,一切都适用于 Firefox 或 Opera。

感谢帮助。