问题标签 [zapproxy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
112 浏览

java - 如何在 zapproxy 扫描中删除与指定 url 相关的所有资源?

我正在使用zapproxy的java客户端api自动动态检测许多网站的漏洞。我需要释放指定url的所有资源(警报、蜘蛛结果、主动扫描结果、内存使用情况)并且不干扰其他的扫描网址。

概述 zapproxy 的整个 api,我只得到:

我认为这将删除所有警报,包括属于其他网址的警报。

那么,如何在 zapproxy 扫描中删除指定 url 的资源呢?

0 投票
1 回答
1987 浏览

zap - ZAP 代理不工作

我正在尝试通过 ZAP 代理工具代理我的浏览器流量。我已经根据 ZAP 网站上的用户文档设置了我的浏览器代理,并且与下面帖子中的说明相同。我试图扫描的网站只是挂在登录页面上,但是一旦我禁用代理,一切正常。此外,查看 Firefox 或 Chrome 开发工具中的网络流量,它会显示“Waiting for fonts.googleapis.com”。我检查或尝试的任何想法?我尝试了 4 种不同的浏览器

在 ZAP 工具中添加身份验证以攻击 URL

0 投票
1 回答
196 浏览

selenium - zap 主动扫描任务被保存会话任务中断

我正在尝试将 zap 任务自动化到我的构建过程中。这是我所做的:

  • 运行 zap
  • 运行硒测试
  • 运行 zap 蜘蛛
  • 运行 zap activeScan
  • 保存 zap 会话
  • 运行 zap 警报检查并报告它
  • 结束电击

这是我的 ant build.xml 的目标:

问题是:主动扫描没有完成,它被下一个任务(保存zap会话)打断,这意味着报告的警报也没有覆盖所有的主动扫描结果。

0 投票
2 回答
2068 浏览

python - 连接到 Zap Proxy Docker Image,“Max retries exceeded with url: Caused by ProxyError('Cannot connect to proxy

我正在尝试通过 Docker 使用 zap 代理 将其拉下来:

使用“从 Docker 容器外部访问 API”部分中描述的命令运行它:

但我似乎无法连接到它。当我运行时docker inspect <CONTAINER ID> | grep IPAddress,我得到 172.17.0.2(编辑:我可以运行扫描,我在 Mac 上将 ZAP_SERVER_PROXY 从更改172.17.0.2:80900.0.0.0:8090,因此将其编辑为下面的代码示例)。所以我的脚本的开头看起来像:

现在只是尝试使用 python 通过终端运行它并不断收到连接被拒绝的错误。我也试过用API_KEY注释掉的部分,有没有人知道你在哪里找到在文档中看不到的。

注意:我在 macos 上,但运行docker-machine ip default没有做任何事情,所以不确定如何进入链接页面的底部和 docker 新手。仿照自己的例子进行测试。运行virtualenv -p python3 env不确定是否会影响它。

0 投票
1 回答
264 浏览

python-3.x - zap 代理扫描程序和排泄物选项不是通过 -config 标志设置的?

当我按照此处所述启动 zap.sh 时,我正在尝试设置配置。

但是当我开始扫描指向说 google.com 时。它在日志中显示了这一点

这表明扫描仪强度和阈值更改以及我对 example.com 上没有的任何内容的排除正则表达式都被忽略了。我究竟做错了什么?

注意:使用 owasp/zap2docker-stable,尝试使用.

0 投票
1 回答
894 浏览

docker-compose - 将 Docker 运行命令调整为 OWASP ZAP 映像的 gItlab-ci.yaml

尝试以此处描述的无头模式运行 OWASP ZAP Docker Build :

但无法弄清楚如何使其适应 gitlab-ci.yaml。在 gitlab 9.4 上并认为服务命令应该这样做,但还没有让它工作。试过:

这会得到这个错误:

还在本地运行 docker inspect 并将过去显示为

所以我将命令更改为

但仍然得到错误:

这似乎是安装文件。我正在尝试使用自定义设置和 api 密钥,所以不要像使用默认设置或 zap 基线那样寻找答案。

0 投票
1 回答
1214 浏览

zap - 如何检查扫描后是否生成了 ZAP 报告/警报?

我目前正在使用 REST-API(使用 Groovy 作为语言)与 ZAP 进行交互。

我想要实现的是开始扫描并在扫描完成后检索结果。

我目前正在查看扫描状态,并且我假设一旦扫描状态为 ,我可以检索结果100,表明扫描已完成。但是,这不起作用,我必须不断查询,/JSON/core/view/alerts/直到检索到实际结果。

这基本上是我的代码:

我的问题是,是否存在一种更稳定的方法来指示结果是否已生成。似乎 Java-API 的官方示例也在等待:

https://github.com/zaproxy/zap-api-java/blob/develop/subprojects/zap-clientapi/src/examples/java/org/zaproxy/clientapi/examples/SimpleExample.java#L65

0 投票
1 回答
2273 浏览

java - 如何整合 selenium 和 ZAP

我计划为 Web 应用程序自动进行安全测试。我有使用 JAVA 语言开发的 selenium 代码,现在我需要与 ZAP 集成。

请帮助我如何整合这两者并生成相同的报告。

0 投票
2 回答
1475 浏览

security - org.zaproxy.clientapi.core.ClientApiException:java.net.ConnectException:连接被拒绝:使用 Java API 连接到 ZAP 时出现连接错误

我正在尝试将硒与 ZAP 集成。

为此,我使用以下代码在使用 selenium 启动浏览器之前自动打开 ZAP 工具。

我面临的问题是 ZAP 工具没有正确打开,它卡在了中间。

下面的代码我用来打开 ZAP 工具。

代码:

错误:

0 投票
1 回答
868 浏览

api - Zapproxy API 中的基本授权

我有这个 curl 来调用一个 api:

如果我用 zapproxy 收到请求,我可以发送这个并进行主动攻击,但我正在尝试这个调用 python api。我无法使用基本授权(base64 或用户:密码)进行身份验证。我正在尝试使用 gui 和导出创建上下文并将其与 zap-api-scan.py 一起使用,但它不起作用。

我已经阅读了这些帖子:

https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html

OWASP ZAP 中的基本授权

https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsAuthentication#httpntlm-authentication

但我还没有找到解决方案。

请问你能帮我吗?

谢谢。