我们如何整合 Owasp ZAP 和 Cypress？

Posted 2023-02-19

【中文标题】我们如何整合 Owasp ZAP 和 Cypress？

【英文标题】：How can we integrate Owasp ZAP & Cypress?

【发布时间】：2020-09-21 15:27:58

【问题描述】：

有什么方法可以将 Owasp Zap 安全测试工具与 Cypress 集成？

【问题讨论】：

启动 Zap，然后为 Cypress 配置代理。查看 Cypress 中代理配置的详细信息 - docs.cypress.io/guides/references/proxy-configuration.html

问题是什么代理设置？有多少 localhost 应该被忽略，什么应该通过 ZAP？

【参考方案1】：

我在这里创建了一个工作演示，说明如何实现这一点 - https://github.com/el-davo/cypress-zap。

基本上，当您运行“yarn test”时，zap 攻击代理会启动，然后 cypress 启动，我们告诉它通过传递此环境变量来通过代理发送所有流量

HTTP_PROXY=http://localhost:8080 NO_PROXY=\"<-loopback>\"

一旦 cypress 测试运行，cypress 就会等待攻击代理完成其工作，一旦 zap 完成测试，就会关闭测试并生成报告。请注意，此 repo 目前仅适用于 linux，但可以轻松修改为适用于 windows