gpt4 book ai didi

java - OWASP ZAP : Active Scanner in Continuos Integration

转载 作者:行者123 更新时间:2023-11-30 03:06:25 24 4
gpt4 key购买 nike

尝试在持续集成 (CI) 设置中使用 ZAP (2.4.3)。我可以将 ZAP 作为守护进程运行,使用 ZAP 作为代理来运行所有 Selenium 测试(使用 Java),然后能够使用 REST api 调用 htmlreport 来获取被动的最终报告扫描器。这工作正常,但我还想使用 Activity 扫描仪。

ZAP 文档中多次提到在 CI 中使用 Active Scanner,但尚未找到任何有关它的工作示例或教程...是否存在?

我想要实现的目标是:一旦运行完成,就在 Selenium 回归套件访问的所有页面上运行 Active Scanner。

尝试查看 ZAP 的 REST api,但大多没有文档记录:

https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index

理想情况下,如果有这样的东西那就太好了:

  • 对所有访问过的网址异步启动主动扫描
  • 轮询以检查主动扫描运行是否已完成

在 REST api 中似乎有一些相关的东西,但是:

  • ascan/scan 需要一个 url 作为输入。可以调用 core/urls 来查看 Selenium 测试访问了什么,但是如何设置正确的身份验证(日志凭证)?如果访问 url 的顺序很重要怎么办?如果某个页面只能通过特定凭据访问怎么办?
  • 有一个 ascan/scanAsUser,但尚不清楚如何从 ZAP 检索 contextIduserId。一个麻烦的解决方法是修改 Selenium 测试以在磁盘上写入它们访问的 url 以及它们正在使用的日志记录/密码凭据,然后,一旦所有测试完成,从磁盘读取此类信息以调用 ZAP。有没有更简单的方法?

最佳答案

好吧,这里有很多问题:)

ZAP 通常会扫描 URL 的层次结构,例如 https://www.example.com/app 下的所有内容。您的应用程序的顶级 URL。我们假设您知道那会是什么;)

身份验证处理起来并不简单,请参阅 https://github.com/zaproxy/zaproxy/wiki/FAQformauth

ascan/status 调用返回已完成的 %

您可能会找到 ZAP 用户组 http://groups.google.com/group/zaproxy-users更适合这类问题。但是,是的,我们确实需要改进 API 文档:/

干杯,

西蒙(ZAP 项目负责人)

关于java - OWASP ZAP : Active Scanner in Continuos Integration,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34657284/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com