OWASP Zed Attack Proxy Scan в конвейере DevOps

Question

OWASP Zed Attack Proxy Scan в конвейере DevOps

Мое требование - выполнить «сканирование с проверкой подлинности» с помощью конвейера TFS DevOps, для этого я добавил расширение «OWASP Zed Attack Proxy Scan» в TFS и добавил задачи в конвейер. также я установил настольное приложение OWASP (2.10.0), конвейер работает нормально с «режимом без проверки подлинности» на веб-сайте, но мне нужно выполнить «сканирование с проверкой подлинности», чтобы инструмент мог также идентифицировать ошибки / уязвимости после страниц входа в систему, как это можно сделать?

3

security cicd zap azure-devops-extensions devsecops

Источник

user10846390 05 окт '21 в 17:50

1 ответ

Другие вопросы по тегам security cicd zap azure-devops-extensions devsecops

user1509834 05 окт '21 в 18:19 2021-10-05 18:19 · Answer 1 · 2021-10-05 18:19

Прежде всего, вам не нужно использовать настольное приложение ZAP - ZAP можно запускать разными способами, которые больше подходят для автоматизации - см. Https://www.zaproxy.org/docs/automate/

Во-вторых, аутентификация может быть настоящей головной болью - существует так много способов, которыми приложения справляются с этим :( Взгляните на официальные видео ZAP на https://www.zaproxy.org/videos-list/ - вы можете выполнить поиск по запросу "Auth "в тегах, чтобы сузить их до наиболее релевантных.