傳遞登錄參數以在docker命令上使用owasp zap進行掃描

Question

我試圖執行命令以登錄攻擊應用程序，但我不知道如何將我的用戶和密碼傳遞給url。

登錄會發送一個帖子，其中包含用戶名和密碼以驗證是否存在。

命令atack。

搬運工運行--rm -v $（PWD）：/ ZAP/WRK /：RW -t OWASP/zap2docker穩定zap-baseline.py -t http://172.31.95.32:8080/myapp/login -g gen.conf -r testreport.html authMethodName： formBasedAuthentication authMethodConfigParams：loginUrl = http://172.31.95.32:8080/myapp/login

Answer 1

僅供參考。我不得不使用ictu/zap2docker-weekly圖像來完成這個目標。

這裏是一些例子的回購。

https://github.com/ICTU/zap-baseline

Answer 2

你最好在gui模式下運行ZAP並整理你可以導出的Context配置。然後，您可以在需要的任何CI或CD過程中導入和重新使用您的上下文。

zap-baseline.py是爲了完成它的名字所暗示的意思。爲您的應用/服務提供簡單（僅被動）評估。

有關ZAP基線掃描更多詳細信息，請訪問：

• https://github.com/zaproxy/zaproxy/wiki/ZAP-Baseline-Scan
• https://blog.mozilla.org/security/2017/01/25/setting-a-baseline-for-web-security-controls/