问题标签 [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
owasp - 如果 URL 以 https 开头,OWASP Zaproxy 不能攻击 URL
我正在使用 OWASP ZAP 工具(2.4.2 版)。问题是如果我选择攻击具有 https 的 URL,它总是显示“攻击 URL 失败”。如果我输入的网址不是 https,它可以正常工作。
如何使其能够与 https 一起使用?
configuration - 在公司代理后面使用 OWASP ZAP
有没有办法在公司代理后面使用 ZAP?即我想将我的浏览器配置为使用 ZAP 提供的本地代理,然后 ZAP 应该通过我们的全局代理发送请求:
即使 ZAP 不支持 NTLM 代理也很高兴知道,因为我也在本地为那些无法正确处理身份验证的应用程序运行 CNTLM。
(我尝试寻找解决方案,但当然不可能找到与名称中包含“代理”的应用程序的代理有关的任何事情......:/)
jenkins - ZAP_2.4.2_Core.tar.gz 安装失败
这是我在这里的第一篇文章,所以请原谅我犯了任何错误。
我尝试在 Jenkins 中安装 ZAProxy 插件。
我通过根据网站https://wiki.jenkins-ci.org/display/JENKINS/ZAProxy+Plugin插入值来安装自定义工具插件。
之后,我在 Jenkins Job 中执行 ZAProxy:
执行构建后,我看到以下错误:
我只是找不到有关此错误的任何信息,我相信它可以帮助其他必须在未来使用此插件的新手。请帮我。是我公司的詹金斯,所以我必须隐瞒内部信息。我用红色为你透支。
java - OWASP ZAP:Continuos 集成中的主动扫描器
尝试在持续集成 (CI) 设置中使用 ZAP (2.4.3)。我可以将 ZAP 作为守护程序运行,使用 ZAP 作为代理运行我所有的 Selenium 测试(在 Java 中),然后能够使用 REST api 调用htmlreport
来获得被动扫描器的最终报告。这很好用,但我也想使用 Active Scanner。
在 ZAP 的文档中多次提到在 CI 中使用 Active Scanner,但没有找到任何关于它的工作示例或教程……是否存在?
我想要实现的是:一旦完成运行,就在 Selenium 回归套件访问的所有页面上运行 Active Scanner。
试图查看 ZAP 的 REST api,但大多没有记录:
https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index
理想情况下,有这样的东西会很棒:
- 在所有访问的 url 上异步启动 Active Scan
- 轮询以检查 Active Scan 运行是否已完成
在 REST api 中似乎有一些相关的东西,但是:
ascan/scan
需要一个 url 作为输入。可以调用core/urls
查看 Selenium 测试访问过的内容,但是如何设置正确的身份验证(日志凭证)?如果访问 url 的顺序很重要怎么办?如果页面只能通过特定的凭据访问怎么办?- 有一个
ascan/scanAsUser
,但不清楚如何contextId
以及userId
可以从 ZAP 中检索。一个麻烦的解决方法是修改 Selenium 测试以在磁盘上写入他们访问的 url 以及他们正在使用的日志记录/密码凭据,然后,一旦所有测试完成,从磁盘读取此类信息以调用 ZAP。有没有更简单的方法?
selenium - 在 chromedriver (Selenium) 中导入根 CA
我已经尝试并搜索了几乎所有内容,但在运行我的 Selenium 测试时仍然没有找到将根 CA 导入 chromedriver 的答案。
小背景信息:我正在使用 Selenium 和 chromedriver 运行回归测试。我的目标是让这些功能测试通过 Zed Attack Proxy。由于 web 应用程序使用 https,我需要在 chromedriver 中导入 Zed Attack 代理证书,因此它会信任 Zed Attack Proxy 来解密经过的请求。
仅供参考,这个问题不能通过忽略证书错误来解决,因为这不会解密请求而只是忽略它。
任何帮助表示赞赏!
security - OWASP Zed 攻击代理设置错误,连接重置
我正在尝试使用 Firefox 设置 Zed 攻击代理来扫描我的 Web 应用程序。出于某种原因,他们指南中的以下步骤不起作用:https ://youtu.be/Xp_PBH7wjiw
Firefox 不断给出“连接已重置”错误。不过,这不仅适用于我的网站,如果没有它,我什至无法打开 google.com,因为连接被重置错误。任何帮助,将不胜感激。
python - OWASP ZAP python API错误运行脚本
我想使用 python-owasp-zap api。我下载并安装了 python-owasp-zap 所需的所有存储库。当我运行网站https://github.com/zaproxy/zaproxy/wiki/ApiPython中给出的示例代码时,我收到以下错误,请帮助我。
然后,我尝试从 status 方法中删除括号:
我收到以下错误:
非常感谢您帮助纠正错误。
php - zaproxy scan report solution in PHP
I am using zaproxy for automatic testing of my site. There is a P1 alert in the scan report. I dont know how to rectify this err. Can someone please help me out:-
selenium - Selenium 和 Cucumber 代理设置(cucumber.xml 或 CucumberRunner)
尝试通过属性在 Cucumber 中设置代理(到 OWASP ZAP 代理端口),但不可用。
黄瓜.xml
我也可以在 CucumberRunner 中设置,但不知道怎么设置。
有人知道如何以及在哪里正确设置吗?
使用 Selenium 和 Webdriver 我可以这样做:
但是如何用 Cucumber 实现这一点?我想用 Cucumber,因为里面已经写好了测试。
谢谢,
proxy - 使用 OWASP Zap 代理的 Websocket 问题
我使用 zap 2.4.3,但我没有收到 websocket 流量,似乎它只阻止 websocket 数据包,而 http 和 https 通过代理正确交叉。为了允许它,需要配置一些东西吗?
我的系统是:
- ZAP 2.4.3
- 科学Linux 6.7
- java 版本“1.8.0_20-ea”Java(TM) SE 运行时环境(构建 1.8.0_20-ea-b05)Java HotSpot(TM) 64 位服务器 VM(构建 25.20-b05,混合模式)
- Firefox 44.0.2(我也试过 Opera 35)
如果我不使用代理,一切都适用于 Firefox 或 Opera。
感谢帮助。