Запустить задачу активного сканирования, прерванную задачей сохранения сеанса

Question

Запустить задачу активного сканирования, прерванную задачей сохранения сеанса

Я пытаюсь автоматизировать задачи zap в процессе сборки. Вот что я делаю:

беги, зап
запустить тесты на селен
беги, зап, паук
запустить zap activeScan
сохранить сеанс зап
запустить проверку оповещений zap и сообщить об этом
конец зап

И вот цель моего муравья build.xml:

    <SpiderURL zapAddress="${zapaddr}" zapPort="${zapport}" url="${targetHost}" debug="true"/>
    <sleep seconds="5"/>        
    <ActiveScanSite zapAddress="${zapaddr}" zapPort="${zapport}" url="${targetHost}" debug="true"/>
    <sleep seconds="5"/>        

    <tstamp>
        <format property="timestamp" pattern="MM-dd-yyyy HH-mm-ss"/>
    </tstamp>

    <SaveZAPSession zapAddress="${zapaddr}" zapPort="${zapport}" name="${user.dir}/test ${timestamp}" debug="true"/>    

    <record name="Report.txt" action="start" append="true" />
    <alertCheckTask zapAddress="${zapaddr}" zapPort="${zapport}" debug="false">
        <ignoreAlert risk="Low" />
        <ignoreAlert risk="Medium" />
        <requirealert alert="Cross Site Scripting (Reflected)" />
    </alertCheckTask>
    <record name="Report.txt" action="stop" />

Проблема заключается в том, что активное сканирование не завершено, и оно прерывается следующей задачей (сохранить сеанс zap), что означает, что оповещения, о которых сообщают, также не покрывают все результаты активного сканирования.

0

selenium ant owasp zapproxy

Источник

user7864438 03 май '17 в 09:49

1 ответ

Другие вопросы по тегам selenium ant owasp zapproxy

user1509834 03 май '17 в 13:42 2017-05-03 13:42 · Answer 1 · 2017-05-03 13:42

Сначала сохраните сеанс, прежде чем делать что-либо еще. Сеанс ZAP является БД, и как только он сохраняется (или, скорее, "сохраняется", как его теперь называют в пользовательском интерфейсе), любые изменения также сохраняются автоматически. Если вы позже сохраните / сохраните сеанс ZAP, вы фактически просто копируете временный БД в новый, что очень неэффективно. Вот почему мы предлагаем вам сохранить сеанс при открытии пользовательского интерфейса ZAP.

Сказав все это, я бы порекомендовал использовать Java-клиент ZAP напрямую, поскольку он обеспечивает гораздо больший контроль над ZAP. Задачи Ant довольно ограничены. Мы действительно обновляли их, отчасти потому, что не знали, как их использовать! Если вы все еще планируете использовать их, то дайте мне знать - я подозреваю, что им может понадобиться некоторая настройка:)