我现在已经在尝试几个星期,以针对owasp基准正常运行zap了。但我失败了-因为结果比旧版本的zap差。
Here是生成的计分卡,其中包含我的ZAP 2.7实例获得的分数。我真的对此表示怀疑。 因此,我认为可能出了点问题,因此我重复了基准测试,该基准测试又花了将近一个半天的时间(不确定这是否正常-我拥有配备i7-3520M的Thinkpad 430)。
我配置了基准测试页面tips-section中所述的zap。起初,我在RAM方面遇到问题。因此,我升级到16G(如推荐的那样,所以现在不应该成为问题,因为根据free,我有足够的可用RAM。我的操作系统详细信息:
~ >>> lsb_release -a
LSB Version: n/a
Distributor ID: ManjaroLinux
Description: Manjaro Linux
Release: 18.0.2
Codename: Illyria
~ >>> uname -a
Linux maksbook 4.19.13-1-MANJARO #1 SMP PREEMPT Sat Dec 29 15:43:56 UTC 2018 x86_64 GNU/Linux
~ >>>
幸运的是,我没有遇到提到的冻结问题。尽管我现在很无助,但如何继续前进。因为我敢肯定我到目前为止的测量是错误的。
我们将不胜感激!
编辑: 我尝试了以下方法:对每个测试用例进行一次扫描。不幸的是,这并没有改变。我还尝试将arachni与基准进行比较。由于this错误,它第一次崩溃了。我重新配置了arachni并重新启动了扫描。如果有结果,我将进行更新。
编辑2: 因此,再次尝试,这次我不确定zap是否不是问题。这次我仅关注路径遍历漏洞。猜猜是什么-zap无法捕获其中的任何一个(0/268 expected by version 1.2)。我将上下文设置为所有路径遍历情况(请参阅以下screenshot),仅针对路径遍历实例(甚至设置了疯狂的强度)配置了策略。具有讽刺意味的是,zap在其他实例中发现了一些路径遍历(完整扫描-默认上下文,参见here) 现在我真的很失望。不过,我希望我做错了什么。
