如何定义我们自己的ZAP活动规则?

时间:2018-10-15 08:51:37

标签: security zap

我们要使用ZAP扫描我们的网站漏洞问题

有什么方法可以为我们的业务定义我们自己的有效规则??

例如,我们要检查是否有任何javascript将任何数据发布到不在白名单中的网站上??

那么,也许我们可以在ZAP插件中实现此功能,但是如何创建自己的ZAP插件...?

1 个答案:

答案 0 :(得分:1)

  

我们要检查是否有JavaScript将任何数据发布到网站   不在白名单中...?

那将是被动的规则,而不是主动的规则。

您可以将其创建为脚本,也可以使用ZAP随附的模板。您还可以在此处找到社区示例:https://github.com/zaproxy/community-scripts

还有一组博客文章可以为您提供帮助:

主动扫描与被动扫描:

  • 被动扫描规则会查看通过ZAP的流量(代理, 或蜘蛛状,也可以选择模糊化),而无需发出任何请求 他们自己。
  • 活动扫描规则会在活动扫描期间运行,并且会 通过更改请求参数/细节来引出某些请求 反应或行为的类型。