問題タブ [zap]

OWASP ZAP ツール (バージョン 2.4.2) を使用しています。問題は、https を含む URL を攻撃することを選択した場合、常に「URL の攻撃に失敗しました」と表示されることです。入力した URL が https でなければ問題なく動作します。

https で動作するようにするにはどうすればよいですか?

ここに初めて投稿するので、間違っていることをお許しください。

Jenkins で ZAProxy Plugin のインストールを実行しようとしています。

ウェブサイトhttps://wiki.jenkins-ci.org/display/JENKINS/ZAProxy+Pluginに従って値を挿入して、カスタム ツール プラグインをインストールしました。

その後、Jenkins ジョブで ZAProxy を実行します。

ビルドを実行すると、次のエラーが表示されます。

このエラーに関する情報を見つけることができませんでしたが、将来このプラグインを使用する必要がある他の新規参入者に役立つと確信しています. 私を助けてください。それは私の会社のジェンキンスなので、内部情報を隠蔽する必要があります。赤い色で上書きします。

継続的インテグレーション (CI) 設定で ZAP (2.4.3) を使用しようとしています。ZAP をデーモンとして実行し、ZAP をプロキシとして使用してすべての Selenium テストを (Java で) 実行し、REST API 呼び出しを使用しhtmlreportてパッシブ スキャナーの最終レポートを取得できます。これで問題なく動作しますが、Active Scanner も使用したいと思います。

CI で Active Scanner を使用することは、ZAP のドキュメントで何度か言及されていますが、それに関する実際の例やチュートリアルは見つかりませんでした... 存在しますか?

私が達成したいのは次のようなものです:実行が終了したら、Selenium回帰スイートがアクセスしたすべてのページでActive Scannerを実行します。

ZAP の REST API を調べようとしていますが、ほとんど文書化されていません:

https://github.com/zaproxy/zaproxy/wiki/ApiGen_Index

理想的には、次のようなものがあるとよいでしょう。

• アクセスしたすべての URL でアクティブ スキャンを非同期に開始する
• アクティブ スキャンの実行が完了したかどうかを確認するためのポーリング

REST api には関連するものがあるようですが、次のようになります。

• ascan/scan入力として URL が必要です。core/urlsSelenium テストがアクセスしたものを確認するために呼び出すことはできますが、正しい認証 (ログ資格情報) を設定するにはどうすればよいでしょうか? URL がアクセスされる順序が重要な場合はどうすればよいでしょうか? ページが特定の資格情報でのみアクセス可能である場合はどうなりますか?
• がありますが、ascan/scanAsUser方法は不明でcontextId、userIdZAP から取得できます。面倒な回避策は、Selenium テストを変更して、アクセスした URL と使用しているログ/パスワード資格情報をディスクに書き込み、すべてのテストが終了したら、そのような情報をディスクから読み取って ZAP を呼び出すことです。もっと簡単な方法はありますか？

ほとんどすべてを試して検索しましたが、Selenium テストの実行中にルート CA を chromedriver にインポートするための答えが見つかりませんでした。

小さな背景情報: Selenium と chromedriver を使用して回帰テストを実行しています。私の目標は、これらの機能テストが Zed Attack Proxy を通過できるようにすることです。Web アプリケーションは https を使用するため、Zed Attack プロキシ証明書を chromedriver にインポートする必要があります。これにより、Zed Attack Proxy が通過するリクエストを復号化することを信頼できるようになります。

参考までに、証明書エラーを無視してもこの問題を解決することはできません。

どんな助けでも大歓迎です！

Web アプリケーションをスキャンするために、Firefox で Zed Attack Proxy をセットアップしようとしています。何らかの理由で、ガイドの次の手順が機能しませんでした: https://youtu.be/Xp_PBH7wjiw

Firefox で「接続がリセットされました」というエラーが表示され続けます。それは私のウェブサイトだけではありません。接続がリセットされたというエラーが表示されなければ、google.comを開くことさえできません。どんな助けでも大歓迎です。

python-owasp-zap api を使いたいです。python-owasp-zap に必要なすべてのリポジトリをダウンロードしてインストールしました。Web サイトhttps://github.com/zaproxy/zaproxy/wiki/ApiPythonで提供されたサンプル コードを実行すると、以下のエラーが表示されます。助けてください。

次に、ステータスメソッドから括弧を削除しようとしました：

そして、次のエラーが表示されます。

エラーを修正するためのヘルプをいただければ幸いです。

サイトの自動テストに zaproxy を使用しています。スキャン レポートに P1 アラートがあります。このエラーを修正する方法がわかりません。誰かが私を助けてくれますか:-

プロパティを介して Cucumber で (OWASP ZAP プロキシ ポートへの) プロキシを設定しようとしていますが、利用できません。

きゅうり.xml

CucumberRunner でも設定できますが、方法がわかりません。

これを正しく設定する方法と場所を知っている人はいますか?

Selenium と Webdriver を使用すると、次のように実行できます。

しかし、キュウリでこれを達成する方法は? テストはすでに書かれているので、Cucumberを使いたいです。

ありがとう、

Zap 2.4.3 を使用していますが、websocket トラフィックを受信しません。http と https がプロキシを正しく通過している間、websocket パケットのみをブロックしているようです。

私のシステムは次のとおりです。

• ザップ 2.4.3
• サイエンティフィック Linux 6.7
• Java バージョン "1.8.0_20-ea" Java(TM) SE ランタイム環境 (ビルド 1.8.0_20-ea-b05) Java HotSpot(TM) 64 ビット サーバー VM (ビルド 25.20-b05、混合モード)
• Firefox 44.0.2 (Opera 35 も試しました)

プロキシを使用しない場合、すべてが Firefox または Opera でうまく機能します。

手伝ってくれてありがとう。