Tag: zap

zap代理扫描器和excregexes选项不通过-config标志设置？: 我试图设置configuration，当我开始zap.sh 这里描述。 docker run -p 8090:8090 -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 -config api.key=0123456789 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config scanner.strength=INSANE -config scanner.threshold=HIGH -config context.excregexes='^(?:(?!https?:\/\/example\.com).*).$' 但是当我开始扫描时指出google.com。它显示在日志中 16818 [Thread-10] INFO org.parosproxy.paros.core.scanner.HostProcess – start host https://google.com | TestPathTraversal strength MEDIUM threshold MEDIUM 这意味着扫描程序的强度和阈值的变化被忽略，我排除任何不在example.com上的正则expression式。我究竟做错了什么？注意：使用owasp / zap2docker-stable，尝试使用稍微修改过的版本运行。

Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目: 我正在面对基于owasp zap表单的authentication上的障碍。我按照指导安装zap属性。当我运行主动扫描然后“当试图login它给FORBIDDEN错误。CSRF令牌不可用。 Owasp ZAP在使用“Form-Based-Authentication”进行主动扫描期间不执行身份validationON python项目。 [ 我的目标url是： http://example.com:84/admin/login/?next=/admin/ 发布数据 ; csrfmiddlewaretoken=IjYwHHavnCYgcWYMy2oL3L9Z0ldUH95s&username={%username%}&password={%password%}&next=%2Fadmin%2F 这里是我得到的HTML响应： <div id="summary"> <h1>Forbidden <span>(403)</span></h1> <p>CSRF verification failed. Request aborted.</p> </div> <div id="info"> <h2>Help</h2> <p>Reason given for failure:</p> <pre> CSRF token missing or incorrect. </pre> <p>In general, this can occur when there is a genuine Cross Site Request Forgery, or when <a […]

ZAP ScriptWriter同步错误: 我从Docker镜像运行ZAP攻击代理（owasp / zap2docker） https://hub.docker.com/r/owasp/zap2docker-stable/ 我会周期性地遇到这个错误（一旦它第一次发生，一切都是错误的） 30130034 [HSQLDB计时器@ 28b04679]警告hsqldb.db.ENGINE – ScriptWriter同步错误：java.io.SyncFailedException：同步在org.hsqldb.lib.FileUtil $ FileSync上的java.io.FileDescriptor.sync（本机方法）失败。同步（未知来源）在org.hsqldb.scriptio.ScriptWriterBase.run（未知来源）在org.hsqldb.scriptio.ScriptWriterBase.sync（未知源）在org.hsqldb.scriptio.ScriptWriterBase.run（未知来源）在org。 hsqldb.lib.HsqlTimer $ TaskRunner.run（Unknown Source）在java.lang.Thread.run（Thread.java:745）物理上 – 我已经检查过 – 容器和环境都有足够的空间（很多自由节点，很多物理空间）。我正在运行aws m3.large实例（2核，7.5GB RAM，1x32GB SSD磁盘）。任何线索可能会导致它，或如何规避这个错误？

zap docker是否生成.xml报告？: 我无法在运行zap docker命令时生成.xml报告。他们有什么办法使用zap docker生成.xml格式的报告。这里是我运行zap docker的.html格式的命令。 docker run –rm -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-baseline.py -t http://www.example.com -g gen.conf -r zaphtmlreport.html 在某处我发现，对于XML我们只需要改变文件格式。然后，我正在使用下面的命令XML格式不工作： docker run –rm -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-baseline.py -t http://www.example.com -g gen.conf -r zapxmlreport.xml 请帮助我生成.xml报告文件。

连接到Zap代理泊坞窗图像，“最大重试次数超过URL：由ProxyError引起（'无法连接到代理: 我试图通过Docker使用zap代理将它拉下来： docker pull owasp/zap2docker-stable 使用“从Docker容器外部访问API”部分中描述的命令对其进行调整： docker run -p 8090:8090 -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 但我似乎无法连接到它。当我运行docker inspect <CONTAINER ID> | grep IPAddress docker inspect <CONTAINER ID> | grep IPAddress我得到172.17.0.2（编辑：我可以扫描运行，并把我更改ZAP_SERVER_PROXY从172.17.0.2:8090到Mac上的0.0.0.0:8090 ，所以编辑成下面的代码示例）。所以我的脚本开始看起来像： import os import time from pprint import pprint from zapv2 import ZAPv2 BASE_URL = os.getenv('BASE_URL', 'https://example.appspot.com/') ZAP_SERVER_PROXY = os.getenv('ZAP_SERVER_PROXY', '0.0.0.0:8090') API_KEY […]

通过docker命令传递login参数以使用owasp zap进行扫描: 我试图执行一个命令来攻击login的应用程序，但我不知道如何将我的用户和密码传递给该url。 login发送带有用户名和密码的post来validation是否存在。命令atack。 docker run –rm -v $（pwd）：/ zap / wrk /：rw -t owasp / zap2docker-stable zap-baseline.py -t http://172.31.95.32:8080/myapp/login -g gen。 conf -r testreport.html authMethodName：formBasedAuthentication authMethodConfigParams：loginUrl = http://172.31.95.32:8080/myapp/login