OWASP ZAP没有收到有关后续活动扫描的警报

Question

我一直在使用ZAP查找我正在工作的网站的所有最终提示。一切正常，除了我注意到在被动蜘蛛程序下运行主动扫描时，ZAP gui中没有警报记录。

对于新会话的初始被动扫描可以很好地记录警报，但是我真的很想从主动扫描中查看警报。我想念什么吗？我尝试重新启动一个新会话并直接进行攻击，但是它仍然没有记录任何内容。它可能需要在开始记录警报之前完成吗？我已经检查了生成的html报告，它没有指出警报是由被动扫描还是由主动扫描标记的，所以我真的无法分辨。我怀疑我的小型Web应用程序中的漏洞很少。

如果有人对我缺少什么设置有想法，或者我做错了事，我将不胜感激。

Answer 1

啊，我想我可能已经发现了发生了什么事。我检查了实时扫描进度，由于设置了较低的规则限制以加快扫描速度，因此ZAP跳过了许多攻击。

Answer 2

您如何浏览应用程序？ 请求数量非常少，这向我暗示您没有有效地浏览应用程序。 您可以手动浏览该应用（通过ZAP代理浏览器），也可以通过以下方式使用自动化：

• 标准蜘蛛（快速，但不能很好地处理JavaScript）
• ajax蜘蛛（速度较慢，但​​启动浏览器时对JS的处理良好）
• 您自己的单元测试（很好，但前提是您有一些测试）

在“网站”树中查看您的应用-如果它似乎没有显示预期的页面显示，那么您需要集中精力更有效地浏览您的应用。 主动扫描程序不会进行任何浏览，只会攻击通过其他方式找到的网址。