Активное сканирование ZAP CLI из файлов сеанса

Предыстория: я создал файлы сеанса с демоном в автономном режиме, запустив ZAP OWASP в качестве прокси-сервера на самом сервере (так что я получаю исчерпывающий тест от наших групп тестировщиков, не прося их всех изменить настройки прокси).

Теперь, после копирования этих файлов сеанса обратно на свой компьютер, я могу открыть графический интерфейс, выполнить команду «Файл» ›Открыть сеанс. Это добавит мой веб-сайт и все цели. Теперь я могу щелкнуть по нему правой кнопкой мыши и выполнить атаку - ›активное сканирование.

Итак, вопрос: = ›Как мне сделать то же самое из CLI? то есть: запустить активное сканирование через интерфейс командной строки на основе этих файлов сеанса?

В случае, если это может помочь, конечная цель:

  1. регулярно запускать демон в нашей тестовой среде для заполнения файлов сеанса
  2. используйте эти файлы сессий в нашем CI / CD

ps: это своего рода дубликат Как передать файлы zap-сеанса в dockerized zap-сканер?, но поскольку вопрос был расплывчатым, ответов не было.


zap
person jerome    schedule 23.02.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Конечно, я нашел часть решения вскоре после того, как задал вопрос ... Короче, запустите zap без головы и запустите сканирование из cli после загрузки сеанса

# Launch zap:
docker run --rm --name zap -u zap -p 8080:8080 -v "$(pwd)/reports":/zap/reports/:rw -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config api.disablekey=true

# Load the session (assuming the session was copied to $(pwd)/reports)
docker exec zap zap-cli session load /zap/reports/session/session.session

# Launch the scan:
docker exec zap zap-cli --verbose active-scan https://<MYSITE>

Однако при запуске из графического интерфейса это активное сканирование занимает много времени (более 30 минут) и сканирует все URL-адреса; в то время как сканирование CLI, кажется, сканирует только https: // и выходит

person jerome    schedule 23.02.2021
comment
К вашему сведению, zap-cli - это сторонний инструмент, который не поддерживается основной командой ZAP. Мы рекомендуем использовать сканирование пакетов ZAP zaproxy.org/docs/docker или вызвать ZAP API напрямую (с использованием URL-адресов или одного из поддерживаемых клиентов API). К вашему сведению, мы работаем над новой системой автоматизации ZAP, которая скоро будет запущена. - person Simon Bennetts; 23.02.2021
comment
Спасибо @SimonBennetts - знаете ли вы, как выполнить то, что мне нужно, с помощью ZAP API? - person jerome; 25.02.2021
comment
У нас здесь много документации по API :) zaproxy.org/docs/api/#introduction - person Simon Bennetts; 25.02.2021