Owasp zap 工具 - 如何获取通过和失败测试的列表?
Posted
技术标签:
【中文标题】Owasp zap 工具 - 如何获取通过和失败测试的列表?【英文标题】:Owasp zap tool - How to get a list of passed and failed tests? 【发布时间】:2020-10-24 10:22:50 【问题描述】:我正在使用 OWASP ZAP 扫描 Web 应用程序。扫描后,我可以将收到的警报导出为 PDF 文件。此 PDF 文件仅包含警报。问题是我能否获得在扫描应用程序时通过和失败的所有测试的完整列表?我知道我可以使用 ZAP 的 API 来获取所有的扫描规则,但这并不是我真正需要的。我需要一份报告,显示所有通过和失败的测试。像这样:
|测试名称 |通过/失败 | |测试 nr1 |通过 | |测试 nr2 |失败 |
【问题讨论】:
【参考方案1】:在 OWASP ZAP(以及实际上所有其他安全动态测试工具)中没有通过测试这样的东西。 OWASP ZAP 拥有一组攻击向量,并将它们放入对测试应用程序的不同请求中。当它发现漏洞时——很好。会被举报。如果不是 - 好吧,它什么也不做。没有发现任何东西并不能证明没有漏洞。根本没有什么可报告的。
话虽如此,手动查看生成请求的历史记录以查看应用程序是否正确执行其工作始终是一个好主意。还要查看 ZAP 正在访问的 URL。是你想测试的吗?让我哭泣的常见错误是渗透测试登录屏幕,因为您没有正确配置身份验证。
【讨论】:
以上是关于Owasp zap 工具 - 如何获取通过和失败测试的列表?的主要内容,如果未能解决你的问题,请参考以下文章
为啥/如何将 `value="javascript:alert(1)"` 视为 OWASP 的 ZAP 工具中的 XSS 漏洞?
如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击?