背景:
我们使用OWASP Zed Attack Proxy版本2.7.0来执行应用程序的漏洞测试。我们收到了一些警报,正在进行解决。
问题:
我们想要发出警告,说“未启用Web浏览器XSS保护”并运行验证。
我们正在尝试的解决方案:
我们正在探索的可能性之一是运作模式。我们现在能够执行其中一种操作模式,如Standard,Attack等。 有没有办法自定义操作模式并运行单个警报?
答案 0 :(得分:3)
是的,您只需要启用特定的扫描规则并禁用所有其他扫描规则。最简单的方法是在桌面UI中配置扫描策略,然后将其导出。然后,您可以将其用于自动扫描。
在这种情况下,警报是被动的。你检查过基线扫描了吗? https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
我们在Mozilla使用它来每天检查100个站点的健全状况。您可以轻松生成配置文件,然后使用文本编辑器对其进行更改,以便仅报告您感兴趣的问题。