Security 输入向量主动扫描zap owasp
我是一名在一家公司实习的年轻学生(也是安全领域的纯粹初学者)。我的公司让我在他们的web应用程序上用zap owasp做安全测试。我想知道运行最佳活动扫描的建议输入向量是什么?我已经尝试过使用尽可能多的选项运行多个活动扫描,但它从未完成,因为第一步需要几个小时,而且从未完成,因为我让它在晚上运行,当我回来时它已经停止。我做了很多研究,我不认为我发现的网站停留在关于活动扫描输入向量的解释上。在论坛上,人们似乎通过API更多地谈论输入向量。在我的情况下,通过API是否更为理想 谢谢大家的关注,Security 输入向量主动扫描zap owasp,security,owasp,zap,Security,Owasp,Zap,我是一名在一家公司实习的年轻学生(也是安全领域的纯粹初学者)。我的公司让我在他们的web应用程序上用zap owasp做安全测试。我想知道运行最佳活动扫描的建议输入向量是什么?我已经尝试过使用尽可能多的选项运行多个活动扫描,但它从未完成,因为第一步需要几个小时,而且从未完成,因为我让它在晚上运行,当我回来时它已经停止。我做了很多研究,我不认为我发现的网站停留在关于活动扫描输入向量的解释上。在论坛上,人们似乎通过API更多地谈论输入向量。在我的情况下,通过API是否更为理想 谢谢大家的关注, 我希
我希望你能给我建议 我使用OWASP ZAP的经验是,与Burp相比,该工具速度较慢,并且在测试耗时较长时会出现内存处理问题。您可以在启动活动扫描时选择技术和服务器/DB类型,但如果测试的应用程序很大,则可能没有帮助。我宁愿将pentest切成更小的部分,如:
您还应该查看生成的流量,以验证OWASP ZAP是否正确运行,以及生成的有效负载是否合理。一个常见的错误是运行OWASP ZAP反对未经验证的应用程序或在测试中间某处松开AuthTog。发生这种情况后,测试没有任何意义。我使用OWASP ZAP的经验是,与Burp相比,该工具速度较慢,并且在测试耗时较长时出现内存处理问题。您可以在启动活动扫描时选择技术和服务器/DB类型,但如果测试的应用程序很大,则可能没有帮助。我宁愿将pentest切成更小的部分,如:
您还应该查看生成的流量,以验证OWASP ZAP是否正确运行,以及生成的有效负载是否合理。一个常见的错误是运行OWASP ZAP反对未经验证的应用程序或在测试中间某处松开AuthTog。发生这种情况后,测试没有任何意义。TBH输入向量不是我首先要开始的地方。你首先需要了解为什么ZAP需要这么长时间。不久前我写了一篇关于这一点的博客,它仍然非常相关:
你的网站真的很大吗?还是仅仅包含了大量数据驱动的内容。扫描100或1000页背后有相同代码的页面是没有意义的。我们还有一个ZAP用户组,您可以从中获得更快、更具针对性的建议。输入向量不是我首先要开始的地方。你首先需要了解为什么ZAP需要这么长时间。不久前我写了一篇关于这一点的博客,它仍然非常相关:
你的网站真的很大吗?还是仅仅包含了大量数据驱动的内容。扫描100或1000页背后有相同代码的页面是没有意义的。我们还有一个ZAP用户组,您可以从中获得更快、更具针对性的建议你好,Marek,非常感谢您的回答!我有几个问题。每次我回到第一步,我必须删除我已经访问过的链接,这样它就不会再次扫描它们了,我猜?我们如何知道生成的流量是否可疑?如果您的所有流量都被401403404拒绝,则说明存在问题。每次更改对话框时都要开始一次新的扫描,以便从内存中删除所有现有数据(但当然要先将结果保存到光盘)。您好,Marek,非常感谢您的回答!我有几个问题。每次我回到第一步,我必须删除我已经访问过的链接,这样它就不会再次扫描它们了,我猜?我们如何知道生成的流量是否可疑?如果您的所有流量都被401403404拒绝,则说明存在问题。每次更改对话框时都要开始一次新的扫描,以便从内存中删除所有现有数据(但当然要先将结果保存到光盘中)。感谢您的回复。我读了你的文章。这是非常有益的。事实上,我记得我在应用程序上浏览了几页数据,寻找不同类型的条目。最后,我发现它几乎没有变化,但Zap很可能记录了所有这些URL(大约70个),并多次重复相同的攻击。然而,这不仅仅是一个减速,因为我让它运行了一整晚。当我离开时(大约下午6、7点),它已经运行了3、4个小时。当我早上回来时,它已经停止了,仍然没有完成第一阶段。然而,在过去的几天里,我将马瑞克的技术与同事的想法结合起来。我为网站的几个部分创建了几个会话,并发起了几次攻击。除了每次攻击,我只在输入向量中选中一个选项。所有的攻击都结束了,只有一次我停止了,因为它的行为太像我的第一次测试(它永远不会结束)。对于这次攻击,我选中的选项是“所有请求的HTTP头”。之后,我还试图设置威胁的数量,但我仍然不知道如何阻止