Owasp Zap 和亚马逊

Posted

技术标签:

【中文标题】Owasp Zap 和亚马逊【英文标题】:Owasp Zap and Amazon 【发布时间】:2021-08-26 21:48:42 【问题描述】:

我没有太多的渗透测试经验,但我目前正在研究 OWASP Zap。

我要进行渗透测试的网站在 Amazon EC2 实例上运行。亚马逊在安全测试方面似乎有一定的要求: https://aws.amazon.com/security/penetration-testing/

上面的网站说您可以在 Amazon EC2 实例上运行安全测试,但不能在某些方面运行,例如 DNS 区域遍历、DoS 等,这很公平。

问题是,当我单击“攻击”按钮时,我无法确切看到 OWASP Zap 会做什么,而且我显然不想让 AWS 感到不安!

还有其他人在 EC2 实例上使用过 OWASP Zap 吗?您是否必须将其配置为不进行 DoS 攻击等?有什么方法可以找出 Zap 在做什么(我在文档中看不到任何内容,但可能遗漏了一些内容)?

【问题讨论】:

【参考方案1】:

是的,我已经做到了。 ZAP 不会故意尝试 DoS 攻击(或任何其他旨在造成损害的攻击),但它仍然可以“淘汰”不安全或配置错误的应用程序。 如果你得到了网站所有者的许可,那么他们希望他们不会向亚马逊投诉,然后你就没事了。

有关 ZAP 使用的扫描规则的详细信息,请参阅 https://www.zaproxy.org/docs/alerts/ - 这些页面链接到相关源代码,以便为您提供足够的详细信息;)

【讨论】:

以上是关于Owasp Zap 和亚马逊的主要内容,如果未能解决你的问题,请参考以下文章

OWASP-ZAP

尝试扫描时 OWASP/ZAP 悬空

owasp 十大漏洞中的 ZAP 警报分类

我们如何整合 Owasp ZAP 和 Cypress?

OWASP ZAP API 根元素丢失错误

SonarQube 5.6.6:错误 OWASP ZAP 和依赖检查插件