问题标签 [zap]

我正在使用 OWASP ZAP 工具（2.4.2 版）。问题是如果我选择攻击具有 https 的 URL，它总是显示“攻击 URL 失败”。如果我输入的网址不是 https，它可以正常工作。

如何使其能够与 https 一起使用？

有没有办法在公司代理后面使用 ZAP？即我想将我的浏览器配置为使用 ZAP 提供的本地代理，然后 ZAP 应该通过我们的全局代理发送请求：

即使 ZAP 不支持 NTLM 代理也很高兴知道，因为我也在本地为那些无法正确处理身份验证的应用程序运行 CNTLM。

（我尝试寻找解决方案，但当然不可能找到与名称中包含“代理”的应用程序的代理有关的任何事情......：/）

这是我在这里的第一篇文章，所以请原谅我犯了任何错误。

我尝试在 Jenkins 中安装 ZAProxy 插件。

我通过根据网站https://wiki.jenkins-ci.org/display/JENKINS/ZAProxy+Plugin插入值来安装自定义工具插件。

之后，我在 Jenkins Job 中执行 ZAProxy：

执行构建后，我看到以下错误：

我只是找不到有关此错误的任何信息，我相信它可以帮助其他必须在未来使用此插件的新手。请帮我。是我公司的詹金斯，所以我必须隐瞒内部信息。我用红色为你透支。

尝试在持续集成 (CI) 设置中使用 ZAP (2.4.3)。我可以将 ZAP 作为守护程序运行，使用 ZAP 作为代理运行我所有的 Selenium 测试（在 Java 中），然后能够使用 REST api 调用htmlreport来获得被动扫描器的最终报告。这很好用，但我也想使用 Active Scanner。

在 ZAP 的文档中多次提到在 CI 中使用 Active Scanner，但没有找到任何关于它的工作示例或教程……是否存在？

我想要实现的是：一旦完成运行，就在 Selenium 回归套件访问的所有页面上运行 Active Scanner。

试图查看 ZAP 的 REST api，但大多没有记录：

https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index

理想情况下，有这样的东西会很棒：

• 在所有访问的 url 上异步启动 Active Scan
• 轮询以检查 Active Scan 运行是否已完成

在 REST api 中似乎有一些相关的东西，但是：

• ascan/scan需要一个 url 作为输入。可以调用core/urls查看 Selenium 测试访问过的内容，但是如何设置正确的身份验证（日志凭证）？如果访问 url 的顺序很重要怎么办？如果页面只能通过特定的凭据访问怎么办？
• 有一个ascan/scanAsUser，但不清楚如何contextId以及userId可以从 ZAP 中检索。一个麻烦的解决方法是修改 Selenium 测试以在磁盘上写入他们访问的 url 以及他们正在使用的日志记录/密码凭据，然后，一旦所有测试完成，从磁盘读取此类信息以调用 ZAP。有没有更简单的方法？

我已经尝试并搜索了几乎所有内容，但在运行我的 Selenium 测试时仍然没有找到将根 CA 导入 chromedriver 的答案。

小背景信息：我正在使用 Selenium 和 chromedriver 运行回归测试。我的目标是让这些功能测试通过 Zed Attack Proxy。由于 web 应用程序使用 https，我需要在 chromedriver 中导入 Zed Attack 代理证书，因此它会信任 Zed Attack Proxy 来解密经过的请求。

仅供参考，这个问题不能通过忽略证书错误来解决，因为这不会解密请求而只是忽略它。

任何帮助表示赞赏！

我正在尝试使用 Firefox 设置 Zed 攻击代理来扫描我的 Web 应用程序。出于某种原因，他们指南中的以下步骤不起作用：https ://youtu.be/Xp_PBH7wjiw

Firefox 不断给出“连接已重置”错误。不过，这不仅适用于我的网站，如果没有它，我什至无法打开 google.com，因为连接被重置错误。任何帮助，将不胜感激。

我想使用 python-owasp-zap api。我下载并安装了 python-owasp-zap 所需的所有存储库。当我运行网站https://github.com/zaproxy/zaproxy/wiki/ApiPython中给出的示例代码时，我收到以下错误，请帮助我。

然后，我尝试从 status 方法中删除括号：

我收到以下错误：

非常感谢您帮助纠正错误。

I am using zaproxy for automatic testing of my site. There is a P1 alert in the scan report. I dont know how to rectify this err. Can someone please help me out:-

尝试通过属性在 Cucumber 中设置代理（到 OWASP ZAP 代理端口），但不可用。

黄瓜.xml

我也可以在 CucumberRunner 中设置，但不知道怎么设置。

有人知道如何以及在哪里正确设置吗？

使用 Selenium 和 Webdriver 我可以这样做：

但是如何用 Cucumber 实现这一点？我想用 Cucumber，因为里面已经写好了测试。

谢谢，

我使用 zap 2.4.3，但我没有收到 websocket 流量，似乎它只阻止 websocket 数据包，而 http 和 https 通过代理正确交叉。为了允许它，需要配置一些东西吗？

我的系统是：

• ZAP 2.4.3
• 科学Linux 6.7
• java 版本“1.8.0_20-ea”Java(TM) SE 运行时环境（构建 1.8.0_20-ea-b05）Java HotSpot(TM) 64 位服务器 VM（构建 25.20-b05，混合模式）
• Firefox 44.0.2（我也试过 Opera 35）

如果我不使用代理，一切都适用于 Firefox 或 Opera。

感谢帮助。