问题标签 [zapproxy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 如何在 zapproxy 扫描中删除与指定 url 相关的所有资源?
我正在使用zapproxy的java客户端api自动动态检测许多网站的漏洞。我需要释放指定url的所有资源(警报、蜘蛛结果、主动扫描结果、内存使用情况)并且不干扰其他的扫描网址。
概述 zapproxy 的整个 api,我只得到:
我认为这将删除所有警报,包括属于其他网址的警报。
那么,如何在 zapproxy 扫描中删除指定 url 的资源呢?
zap - ZAP 代理不工作
我正在尝试通过 ZAP 代理工具代理我的浏览器流量。我已经根据 ZAP 网站上的用户文档设置了我的浏览器代理,并且与下面帖子中的说明相同。我试图扫描的网站只是挂在登录页面上,但是一旦我禁用代理,一切正常。此外,查看 Firefox 或 Chrome 开发工具中的网络流量,它会显示“Waiting for fonts.googleapis.com”。我检查或尝试的任何想法?我尝试了 4 种不同的浏览器
selenium - zap 主动扫描任务被保存会话任务中断
我正在尝试将 zap 任务自动化到我的构建过程中。这是我所做的:
- 运行 zap
- 运行硒测试
- 运行 zap 蜘蛛
- 运行 zap activeScan
- 保存 zap 会话
- 运行 zap 警报检查并报告它
- 结束电击
这是我的 ant build.xml 的目标:
问题是:主动扫描没有完成,它被下一个任务(保存zap会话)打断,这意味着报告的警报也没有覆盖所有的主动扫描结果。
python - 连接到 Zap Proxy Docker Image,“Max retries exceeded with url: Caused by ProxyError('Cannot connect to proxy
我正在尝试通过 Docker 使用 zap 代理 将其拉下来:
使用“从 Docker 容器外部访问 API”部分中描述的命令运行它:
但我似乎无法连接到它。当我运行时docker inspect <CONTAINER ID> | grep IPAddress
,我得到 172.17.0.2(编辑:我可以运行扫描,我在 Mac 上将 ZAP_SERVER_PROXY 从更改172.17.0.2:8090
为0.0.0.0:8090
,因此将其编辑为下面的代码示例)。所以我的脚本的开头看起来像:
现在只是尝试使用 python 通过终端运行它并不断收到连接被拒绝的错误。我也试过用API_KEY
注释掉的部分,有没有人知道你在哪里找到在文档中看不到的。
注意:我在 macos 上,但运行docker-machine ip default
没有做任何事情,所以不确定如何进入链接页面的底部和 docker 新手。仿照自己的例子进行测试。运行virtualenv -p python3 env
不确定是否会影响它。
zap - 如何检查扫描后是否生成了 ZAP 报告/警报?
我目前正在使用 REST-API(使用 Groovy 作为语言)与 ZAP 进行交互。
我想要实现的是开始扫描并在扫描完成后检索结果。
我目前正在查看扫描状态,并且我假设一旦扫描状态为 ,我可以检索结果100
,表明扫描已完成。但是,这不起作用,我必须不断查询,/JSON/core/view/alerts/
直到检索到实际结果。
这基本上是我的代码:
我的问题是,是否存在一种更稳定的方法来指示结果是否已生成。似乎 Java-API 的官方示例也在等待:
java - 如何整合 selenium 和 ZAP
我计划为 Web 应用程序自动进行安全测试。我有使用 JAVA 语言开发的 selenium 代码,现在我需要与 ZAP 集成。
请帮助我如何整合这两者并生成相同的报告。
security - org.zaproxy.clientapi.core.ClientApiException:java.net.ConnectException:连接被拒绝:使用 Java API 连接到 ZAP 时出现连接错误
我正在尝试将硒与 ZAP 集成。
为此,我使用以下代码在使用 selenium 启动浏览器之前自动打开 ZAP 工具。
我面临的问题是 ZAP 工具没有正确打开,它卡在了中间。
下面的代码我用来打开 ZAP 工具。
代码:
错误:
api - Zapproxy API 中的基本授权
我有这个 curl 来调用一个 api:
如果我用 zapproxy 收到请求,我可以发送这个并进行主动攻击,但我正在尝试这个调用 python api。我无法使用基本授权(base64 或用户:密码)进行身份验证。我正在尝试使用 gui 和导出创建上下文并将其与 zap-api-scan.py 一起使用,但它不起作用。
我已经阅读了这些帖子:
https://zaproxy.blogspot.com/2017/06/scanning-apis-with-zap.html
但我还没有找到解决方案。
请问你能帮我吗?
谢谢。