如何在HTTP发布期间使用ZAP自动执行主动扫描?

时间:2018-12-03 13:31:43

标签: security zap

是否有使用ZAP进行主动扫描的最佳实践?

例如...我们要主动扫描登录页面,输入一些注入代码以查看是否将注入登录功能。

我们希望使用zapv2库在脚本中实现整个扫描,是否有最佳做法?

当前,我们可以使用zapv2脚本很好地进行被动扫描,但是仍然不知道如何使用ZAP / zapV2自动执行主动扫描

1 个答案:

答案 0 :(得分:1)

github仓库中有示例:https://github.com/zaproxy/zap-api-python/tree/master/src/examples

这里有不错的文章:https://www.coveros.com/scripting-owasp-zap/ zaproxy Wiki也有详细信息:https://github.com/zaproxy/zaproxy/wiki/ApiPython

这是一个通过python API运行主动扫描的示例(假设您已经抓取或代理了一些单元测试或用于构建站点树的东西,并且定义了as col_alias):

target

当然,您也可以直接点击google或duckduckgo或您最喜欢的搜索引擎,然后尝试“ zaproxy python示例”之类的东西。