如何解决API 扫描未从 OWASP ZAP 中的 swagger-ui.html 扫描 api
我尝试了以下命令
docker pull owasp/zap2docker-weekly
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.conf -r testreport.html -z "-config replacer.full_list(0).description=auth1 \
-config replacer.full_list(0).enabled=true \
-config replacer.full_list(0).matchtype=REQ_HEADER \
-config replacer.full_list(0).matchstr=Authorization \
-config replacer.full_list(0).regex=false \
-config replacer.full_list(0).replacement='Bearer eyJraWQiOiIyABCDEFG'"
我得到的输出为
警告-新:返回了意外的内容类型 [100001] x 2
https://dummyexample.com/swagger-ui.html (200 OK)
https://dummyexample.com/swagger-ui.html/ (200 OK)
WARN-NEW:不完整或没有缓存控制标头集 [10015] x 1
https://dummyexample.com/swagger-ui.html (200 OK)
警告-新:未设置内容安全策略 (CSP) 标头 [10038] x 1
https://dummyexample.com/swagger-ui.html (200 OK)
FAIL-NEW: 0 FAIL-INPROG: 0 WARN-NEW: 3 WARN-INPROG: 0 INFO: 0 IGnorE: 0 PASS: 113
问题是我无法从 swagger 扫描所有 api,因为我需要对其进行身份验证。 但是我提供了正确的不记名令牌,然后所有的 api 都没有被捕获和扫描。 我只需要通过 owasp/zap2docker-weekly 图像来做到这一点。我不想使用 ZAP UI。 我尝试禁用 api.disablekey=true 但输出相同。
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.conf -r testreport.html -z "-config api.disablekey=true"
请帮我解决这个问题。我错过了一些东西。
提前致谢
解决方法
虽然替换器应该可以正常工作,但我建议使用身份验证环境变量:enter image description here
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。