在 ZAP 代理扫描中排除 URL 作为守护程序运行

Posted

技术标签:

【中文标题】在 ZAP 代理扫描中排除 URL 作为守护程序运行【英文标题】:Exclude URL in ZAP proxy scanning run as daemon 【发布时间】:2020-02-02 20:09:18 【问题描述】:

使用以下命令在守护程序模式下启动 ZAP 代理扫描时,如何从 ZAP 代理扫描中排除某些 URL:

zap.sh -daemon -host 0.0.0.0 -port 8090 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config api.disablekey=true

是否可以设置任何参数或配置参数来排除某些 URL?

我正在使用官方 docker 镜像owasp/zap2docker-stable:latest

【问题讨论】:

【参考方案1】:

对于遇到相同问题的任何人,解决方案是在启动命令中使用以下参数:

-config globalexcludeurl.url_list.url.regex='^((?!http:\/\/example\.com\/).*)$'

在此示例中,它将忽略除以 http://example.com/ 开头的所有 url。

【讨论】:

以上是关于在 ZAP 代理扫描中排除 URL 作为守护程序运行的主要内容,如果未能解决你的问题,请参考以下文章

OWASP Zap 在代理中排除除给定 URL 之外的所有内容

在 ZAP 工具中添加身份验证以攻击 URL

带有容器的 Jenkins Docker Sidecar 运行守护程序命令

OWASP ZAP - 扫描 url 列表

ZAP 主动扫描在桌面上工作,但在 docker 映像中失败并出现 url_not_in_context 错误

多个 ZAP 守护程序的单独主机文件