OWASPZAP

Question

我已经开始使用OWASPZAP（手动扫描）进行工作，直到现在，学习和同步执行都令人兴奋。

我对我们的应用程序进行了一次被动扫描，发现了3条警报，并解释了说明 / OtherInfo / 解决方案 / 参考如下：

• X-Frame-Options Header Not Set ：（风险：中，置信度：中，参数：X-Frame-Options）
• Web Browser XSS Protection Not Enabled ：（风险：低，可信度：中，参数：X-XSS-Protection）
• X-Content-Type-Options Header Missing ：（风险：低，可信度：中，参数：X-Content-Type-Options）

我的问题是：

• 是否有办法知道OWASPZAP在扫描开始之前将执行的扫描类型？
• 扫描（手动）是否可配置？
• 是否有关于OWASPZAP（手动）执行的扫描类型的文档？

注意：粗略的问题直接涉及主要用于编程的工具（例如OWASPZAP）。

Answer 1

有一个维基页面，内容涵盖“ ZAPping the top 10”

有许多帮助页面，其中包含各种扫描规则或插件的描述： 主动扫描：

• 发布- https://github.com/zaproxy/zap-core-help/wiki/HelpAddonsAscanrulesAscanrules
• 测试版- https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsAscanrulesBetaAscanbeta
• Alpha- https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsAscanrulesAlphaAscanalpha

被动扫描：

• 发布- https://github.com/zaproxy/zap-core-help/wiki/HelpAddonsPscanrulesPscanrules
• 测试版- https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsPscanrulesBetaPscanbeta
• Alpha-https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsPscanrulesAlphaPscanalpha

您可以创建一个独立脚本以在ZAP中运行以获取活动扫描程序的详细信息：https://github.com/zaproxy/community-scripts/blob/master/standalone/Active%20scan%20rule%20list.js。使用每周发布的版本（比2018年3月初更新）或下一个稳定的版本（2.8.0或类似版本），您将能够利用ExtensionPassiveScan.getPluginPassiveScanners()

对被动扫描规则执行类似的操作

可以通过Scan Policy Manager Dialog创建主动扫描策略。可以保存，导出和导入活动扫描策略。
启用/禁用被动扫描规则可以通过Options Passive Scan Rules screen完成。 （可以按照此处的讨论通过编程方式建立被动扫描“策略”-> https://stackoverflow.com/a/51288461/7718222）