如何定义我们自己的ZAP活动规则？

Question

我们要使用ZAP扫描我们的网站漏洞问题

有什么方法可以为我们的业务定义我们自己的有效规则？？

例如，我们要检查是否有任何javascript将任何数据发布到不在白名单中的网站上？？

那么，也许我们可以在ZAP插件中实现此功能，但是如何创建自己的ZAP插件...？

Answer 1

  

我们要检查是否有JavaScript将任何数据发布到网站   不在白名单中...？

那将是被动的规则，而不是主动的规则。

您可以将其创建为脚本，也可以使用ZAP随附的模板。您还可以在此处找到社区示例：https://github.com/zaproxy/community-scripts

还有一组博客文章可以为您提供帮助：

• https://zaproxy.blogspot.com/2014/04/hacking-zap-3-passive-scan-rules.html
• https://zaproxy.blogspot.com/2014/04/hacking-zap-4-active-scan-rules.html
• https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0

主动扫描与被动扫描：

• 被动扫描规则会查看通过ZAP的流量（代理， 或蜘蛛状，也可以选择模糊化），而无需发出任何请求 他们自己。
• 活动扫描规则会在活动扫描期间运行，并且会 通过更改请求参数/细节来引出某些请求 反应或行为的类型。