代码之家  ›  专栏  ›  技术社区  ›  undetected Selenium

OWASPZAP执行的扫描类型

security-testing zap owasp security
  •  0
  • undetected Selenium  · 技术社区  · 6 年前

    我已经开始使用OWASPZAP(手动扫描),到目前为止,学习和同步执行都是令人兴奋的。

    / / 解决方案 / 具体如下:

    • X-Frame-Options Header Not Set
    • Web Browser XSS Protection Not Enabled :(风险:低,置信度:中,参数:X-XSS-Protection)
    • X-Content-Type-Options Header Missing :(风险:低,置信度:中,参数:X-Content-Type-Options)

    我的问题是:

    • 有没有办法知道OWASPZAP在扫描开始前将执行的扫描类型?
    • 有关于OWASPZAP(手动)执行的扫描类型的文档吗?

    注意 :当然,这个问题直接涉及主要用于编程的工具(如OWASPZAP)。

    1 回复  |  直到 4 年前
        1
  •  1
  •   kingthorin    6 年前

    有一个wiki页面 ZAPping the top 10

    有许多帮助页面提供各种扫描规则或插件的描述: 活动扫描:

    被动扫描:

    https://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js . 使用每周发布的版本(比2018年3月初更新)或下一个稳定的版本(2.8.0或其他版本),您将能够对被动扫描规则执行类似的操作 ExtensionPassiveScan.getPluginPassiveScanners()

    创建活动扫描策略可以通过 Scan Policy Manager Dialog
    Options Passive Scan Rules screen . (被动扫描“策略”可以按此处讨论的编程方式建立-> https://stackoverflow.com/a/51288461/7718222 )

    推荐文章
    Ted Yu  ·  用于OSWAP ESAPI的Sybase编解码器
    7 年前
    TEH EMPRAH  ·  ZAP不断扫描不必要的URL
    7 年前
    MADCookie  ·  ServiceStack元数据页上的链接是否应该编码?
    7 年前
    Shubham Jain  ·  如何使用命令行操作(即Jenkins)自动运行owsap zap
    7 年前
    dangel  ·  Modsecurity-“主机头是数字IP地址”错误的重定向循环
    8 年前
    hina10531  ·  检查所有参数以防止注射攻击是一种好的做法吗?
    9 年前
    Blanca Hdez  ·  重写ESAPI OWASP方法java
    12 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号