Owasp Zap 和亚马逊
Posted
技术标签:
【中文标题】Owasp Zap 和亚马逊【英文标题】:Owasp Zap and Amazon 【发布时间】:2021-08-26 21:48:42 【问题描述】:我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。
我要进行渗透测试的网站在 Amazon EC2 实例上运行。亚马逊在安全测试方面似乎有一定的要求: https://aws.amazon.com/security/penetration-testing/
上面的网站说您可以在 Amazon EC2 实例上运行安全测试,但不能在某些方面运行,例如 DNS 区域遍历、DoS 等,这很公平。
问题是,当我单击“攻击”按钮时,我无法确切看到 OWASP Zap 会做什么,而且我显然不想让 AWS 感到不安!
还有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了一些内容)?
【问题讨论】:
【参考方案1】:是的,我已经做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以“淘汰”不安全或配置错误的应用程序。 如果你得到了网站所有者的许可,那么他们希望他们不会向亚马逊投诉,然后你就没事了。
有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 这些页面链接到相关源代码,以便为您提供足够的详细信息;)
【讨论】:
以上是关于Owasp Zap 和亚马逊的主要内容,如果未能解决你的问题,请参考以下文章