security - ZAP docker被动扫描结果

ZAP docker被动扫描结果

时间：2019-06-18 22:03:53

标签： security continuous-integration zap passive-mode zapproxy

我使用命令

创建了一个Zap容器（在docker内部）

docker run -u zap -p 8080：8080 -i owasp / zap2docker-stable zap-x.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name =。* -config api .addrs.addr.regex = true -config api.key =

使用正确的api密钥。容器已经安装好了。

我制作了也在docker上运行的本机应用程序，以代理通过Zap容器进行的所有html通信。我的目标是Zap被动地分析所有交通安全问题。

问题是如何在不使用UI的情况下从此ZAP容器中检索被动扫描器的数据？生成被动结果报告的命令是什么？

1 个答案:

答案 0 :(得分：0)

通过主动或被动扫描（脚本，插件等）或完整报告生成的alerts可以通过Zap的API进行检索：https://github.com/zaproxy/zaproxy/wiki/ApiDetails

相关的API端点包括（但不一定限于）：

alert / view / alertsSummary /
警报/视图/警报ByRisk /
alert / view / alerts /
alert / view / alertCountsByRisk /
core / other / htmlreport /
core / other / jsonreport /
核心/其他/ mdreport /
core / other / xmlreport /
核心/视图/警报/
核心/视图/警报摘要/

在python和java API github存储库中都有示例API使用程序。还有很多关于通过ZAP的API在各种自动化方案中使用ZAP的公共博客文章，文章和视频。（所有这些都只是快速的网络搜索。）