自动被动扫描 OWASP ZAP 作为 Node.js HTTP 请求的代理

如何解决自动被动扫描 OWASP ZAP 作为 Node.js HTTP 请求的代理

我知道我可以将 zap-baseline.py 作为 Docker 容器 docker run -t owasp/zap2docker-stable zap-baseline.py -t https://my_website.org 再次运行到网站。我认为两者兼而有之：

• 在 https://my_website.org 上的假设网站上运行蜘蛛程序（鉴于该 URL 只是一个 REST API，如何禁用它？）
• 运行被动扫描器

我可以看到一些不错的输出，例如：

WARN-NEW: Strict-Transport-Security Header Not Set [10035] x 4 
        https://my_website.org/ (204 No Content)
        https://my_website.org/robots.txt (404 Not Found)
        https://my_website.org (204 No Content)
        https://my_website.org/sitemap.xml (404 Not Found)
WARN-NEW: Server Leaks information via "X-Powered-By" HTTP Response Header Field(s) [10037] x 4 
        https://my_website.org/ (204 No Content)
        https://my_website.org/robots.txt (404 Not Found)
        https://my_website.org (204 No Content)
        https://my_website.org/sitemap.xml (404 Not Found)
WARN-NEW: Cookie Without SameSite Attribute [10054] x 6 
        https://my_website.org/ (204 No Content)
        https://my_website.org/ (204 No Content)
        https://my_website.org/robots.txt (404 Not Found)
        https://my_website.org/robots.txt (404 Not Found)
        https://my_website.org (204 No Content)
WARN-NEW: Cross-Domain Misconfiguration [10098] x 4 
        https://my_website.org/ (204 No Content)
        https://my_website.org/robots.txt (404 Not Found)
        https://my_website.org (204 No Content)
        https://my_website.org/sitemap.xml (404 Not Found)

我知道我可以使用独立应用 ZAP 作为 GUI 来充当某些 Node.js 代码的代理，这些代码在测试我的 REST API 时执行 HTTP 请求。此 Node.js 代码使用 Mocha、Chai 和 Axios 对 https://example.org 运行大量集成测试，命令：NODE_TLS_REJECT_UNAUTHORIZED='0' proxychains4 npm run my-integration-test。一些上下文：

• 我已设置 /etc/proxychains.conf 添加 http 127.0.0.1 8080 以便它将使用 ZAP 作为代理。
• 我添加了 NODE_TLS_REJECT_UNAUTHORIZED='0' 以便 Node.js 接受自签名 TLS 证书，因为 ZAP 在 example.org 的 DNS 条目和我的 Node.js 代码之间充当中间人。立>

我可以看到 ZAP 中的“警报”选项卡显示的内容类似于 Docker 容器的输出：

如何在 ZAP GUI 中导出这些警报，以便将它们与 Docker 容器和 zap-baseline.py 或类似脚本一起使用以进行被动扫描？如果我单击“导出”按钮，我只会得到一个 CSV 文件 - Docker 脚本无法解析任何内容。

我正在尝试自动执行此操作，以便我可以在持续集成环境中使用的 Makefile 目标中使用 docker 命令的退出代码。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。