是否有使用ZAP进行主动扫描的最佳实践?
例如...我们要主动扫描登录页面,输入一些注入代码以查看是否将注入登录功能。
我们希望使用zapv2库在脚本中实现整个扫描,是否有最佳做法?
当前,我们可以使用zapv2脚本很好地进行被动扫描,但是仍然不知道如何使用ZAP / zapV2自动执行主动扫描
答案 0 :(得分:1)
github仓库中有示例:https://github.com/zaproxy/zap-api-python/tree/master/src/examples
这里有不错的文章:https://www.coveros.com/scripting-owasp-zap/ zaproxy Wiki也有详细信息:https://github.com/zaproxy/zaproxy/wiki/ApiPython 等
这是一个通过python API运行主动扫描的示例(假设您已经抓取或代理了一些单元测试或用于构建站点树的东西,并且定义了as col_alias
):
target
当然,您也可以直接点击google或duckduckgo或您最喜欢的搜索引擎,然后尝试“ zaproxy python示例”之类的东西。