Как правильно запустить ZAP против OWASP Benchmark?
Я уже несколько недель пытаюсь правильно запустить zap против теста owasp. Но я терплю неудачу - потому что результаты хуже, чем у старой версии zap.
Вот сгенерированная система показателей с оценкой, достигнутой моим экземпляром ZAP 2.7. Я действительно скептически отношусь к обоснованности этого. Поэтому я подумал, что, возможно, что-то пошло не так, и повторил тест, который снова занял почти полтора дня (не уверен, что это тоже нормально - у меня есть Thinkpad 430 с i7-3520M).
Я настроил zap, как описано в разделе советов на странице тестов. Сначала у меня были проблемы с оперативной памятью. Из-за этого я обновил до 16G (как рекомендовано, так что это не должно быть проблемой сейчас, потому что у меня достаточно свободной оперативной памяти в соответствии с free, Мои ОС-детали:
~ >>> lsb_release -a
LSB Version: n/a
Distributor ID: ManjaroLinux
Description: Manjaro Linux
Release: 18.0.2
Codename: Illyria
~ >>> uname -a
Linux maksbook 4.19.13-1-MANJARO #1 SMP PREEMPT Sat Dec 29 15:43:56 UTC 2018 x86_64 GNU/Linux
~ >>>
К счастью, я не столкнулся с проблемой замерзания. Хотя сейчас я беспомощен, как двигаться дальше. Потому что я уверен, что мои измерения, которые я сделал до сих пор, неверны
Помощь будет очень ценится!
Изменить: я попробовал метод, отмеченный: запуск сканирования по каждому тесту по одному. К сожалению, это ничего не изменило. Я также попытался запустить Arachni против эталона. Он упал в первый раз из-за этой ошибки. Я перенастроил арачни и перезапустил сканирование. Я буду обновлять, когда / если я получу результаты.
Редактировать 2: Итак, еще одна попытка, и на этот раз я не уверен, что проблема в запе. На этот раз я сосредоточусь только на уязвимостях обхода пути. И угадайте, что - zap не улавливает ничего из этого (0/268 ожидается в версии 1.2). Я установил контекст для всех случаев обхода пути (см. Следующий снимок экрана), настроил политику только для экземпляров обхода пути (даже установил безумную силу). По иронии судьбы zap обнаружил несколько путей прохождения в других случаях (полное сканирование - контекст по умолчанию см. Здесь). Теперь я действительно разочарован. Тем не менее, я надеюсь, что я делаю что-то не так.