ZAP Docker Результаты пассивного сканирования

Question

ZAP Docker Результаты пассивного сканирования

Я создал контейнер Zap (внутри докера) с помощью команды

docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap-x.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config api.key=

С надлежащим ключом API. Контейнер работает и все в порядке.

Я сделал свое собственное приложение, которое тоже работает в Docker, чтобы прокси-сервер через все связи html через контейнер Zap. Моя цель состоит в том, чтобы Зап пассивно проанализировал весь трафик на проблемы безопасности.

Вопрос в том, как я могу получить данные пассивного сканера из этого контейнера ZAP без использования пользовательского интерфейса? Что такое команда для генерации отчета по пассивным результатам?

-1

security continuous-integration zap passive-mode zapproxy

Источник

user7001150 19 июн '19 в 01:03

1 ответ

Другие вопросы по тегам security continuous-integration zap passive-mode zapproxy

user7718222 19 июн '19 в 22:55 2019-06-19 22:55 · Answer 1 · 2019-06-19 22:55

Оповещения, генерируемые при активном или пассивном сканировании (скрипты, дополнения и т. Д.) Или полные отчеты, можно получить через API Zap: https://github.com/zaproxy/zaproxy/wiki/ApiDetails

Соответствующие конечные точки API включают (но не ограничиваются ими):

Оповещение / просмотр / alertsSummary /
Оповещение / просмотр / alertsByRisk /
Оповещение / просмотр / оповещения /
Оповещение / просмотр / alertCountsByRisk /
ядро / другое / htmlreport /
ядро / другой / jsonreport /
ядро / другое / mdreport /
ядро / другой / xmlreport /
ядро / просмотр / оповещения /
ядро / просмотр / alertsSummary /

В репозиториях Python и gava API github есть примеры программ использования API. Существует также множество общедоступных блогов, статей и видео об использовании ZAP через его API для различных сценариев автоматизации. (Все это просто быстрый поиск в Интернете.)