問題タブ [zap]

除外正規表現があります (理由 - .js および .css ファイルを含めたくありません):

それらはコンテキストに適切に設定されています：

/JSON/context/view/excludeRegexs/?zapapiformat=JSON&contextName=auto-context

ただし、スパイダーを実行して、スパイダーの結果を照会すると

/JSON/spider/view/fullResults/?zapapiformat=JSON&scanId=0

まだ大量の .js ファイルと .css ファイルが表示されます

また、実際にスキャンを実行せずに正規表現をテストする方法はありますか?

次の手順に従います。 1. ZEST スクリプトを記録する (動作することがテスト済み) 2. サイトをコンテキストに含める 3. ユーザーを追加する 4. 強制ユーザーを選択する 5. スクリプトをアップロードし、スクリプトベースの認証を選択する 6. ログアウト インジケーターを定義する 7. スパイダーからログアウトを除外する8.コンテキストとユーザーを選択してAjaxスパイダーを実行します

私は何を取りこぼしたか？

ZAP を介した Azure Blob Storage のスキャンに伴う次のセキュリティ問題に対処する方法を知っている人はいますか?

1. リモート OS コマンド インジェクション: https://<xxx>.blob.core.windows.net/00d36000000tnwaeaa/06836000000kUsRAAU?sv=2014-02-14&sr=b&sig=<yyy>%3D&se=2016-10-07T07%3A25%3A13Z&sp=rw%3Bstart-sleep+-s+5.

   Azure には 'sp' パラメーターが必要ですが、これは上記のように OS コマンドを挿入することで乗っ取られる可能性があります。Azure でこれに対処する方法はありますか。私は何も見つけていません。

2. Azure BLOB サーバーで以下をセットアップする方法は何ですか - X-Frame-Options ヘッダーが設定されていない、不完全またはキャッシュ制御なし、およびプラグマ HTTP ヘッダー セット、Web ブラウザー XSS 保護が有効になっていない

Azure Web サービスが上記の ZAP スキャンに失敗しているため、助けてください。

最近、Jenkins 用の Zap プロキシ プラグインを使い始めました。ZAP バージョン 2.5.0 を使用しています。Jenkins でこのプラグインを構成することができました。AJAX Spider URL に (既定の Firefox ではなく) 別のブラウザーを選択する方法はありますか? Zap のスタンドアロン バージョンでは、別のブラウザーを選択するオプションがあります。

Firefox (バージョン 49) を使用すると、次のエラーが発生します。したがって、Jenkins から実行している間は、phantomjs または htmlunit を使用する予定です。

OWASP ZAP を使用して、維持している Web サイトへの接続をプロキシしようとしています。ただし、プロキシは他のサイト (https と http の両方) で機能していますが、実際に分析したいサイトへの接続は、次のテキストを含む 502 - Bad gateway メッセージを返すだけです。

ブラウザ経由でリクエストしている URL は、OWASP ZAP を介してプロキシされていない場合に正常に機能し、ZAP によってキャプチャされたリクエスト ヘッダーは、Fiddler リクエストに Raw としてコピー アンド ペーストされた場合にも正常に機能します。これらは次のとおりです。

参考までに、

1.) ZAP にプロキシ チェーンが設定されていないか、私の PC / ブラウザ / Fiddler 設定のどこかに設定されていません。

2.) ZAP プロキシは、デフォルトのアドレス localhost:8080 で実行されています。

3.) ZAP 動的証明書が保存され、テスト ブラウザー (Firefox Developer Edition) にインポートされました。

ZAP が他のサイトで機能していることを考えると、ここで何が問題なのかについて私はレンガの壁にいます。誰か助けてもらえますか?