如何检查扫描后是不是生成了 ZAP 报告/警报?

Posted

技术标签:

【中文标题】如何检查扫描后是不是生成了 ZAP 报告/警报?【英文标题】:How to check if ZAP reports/alerts have been generated after scan?如何检查扫描后是否生成了 ZAP 报告/警报? 【发布时间】:2018-01-08 07:20:40 【问题描述】:

我目前正在使用 REST-API(使用 Groovy 作为一种语言)与 ZAP 进行交互。

我想要实现的是开始扫描并在扫描完成后检索结果。

我目前正在查看扫描状态,并且我假设,一旦扫描状态为100,我可以检索结果,表明扫描已完成。但是,这不起作用,我必须不断查询/JSON/core/view/alerts/,直到检索到实际结果。

这基本上是我的代码:

String zapUrl = $zap.getContainerIpAddress():8090"

def scanResponse = slurper.parse(new URL("$zapUrl/JSON/spider/action/scan/?url=http://featuretron:8080"))
String scanId = scanResponse.scan

def scanStatus = slurper.parse(new URL("$zapUrl/JSON/spider/view/status/?scanId=$scanId"))

while (scanStatus.status != "100") 
    sleep(500)
    scanStatus = slurper.parse(new URL("$zapUrl/JSON/spider/view/status/?scanId=$scanId"))


def alerts = slurper.parse(new URL("$zapUrl/JSON/core/view/alerts/"))
while (alerts.alerts.isEmpty()) 
    sleep(500)
    alerts = slurper.parse(new URL("$zapUrl/JSON/core/view/alerts/"))

我的问题是,是否存在一种更稳定的方式来指示结果是否已生成。似乎 Java-API 的官方示例也在等待:

https://github.com/zaproxy/zap-api-java/blob/develop/subprojects/zap-clientapi/src/examples/java/org/zaproxy/clientapi/examples/SimpleExample.java#L65

【问题讨论】:

【参考方案1】:

您正在运行蜘蛛并等待它正确完成。 但是 ZAP 在后台线程中执行被动扫描,这是您需要等待的。

对此也有 API 调用,这是一个很好的例子:https://github.com/zaproxy/zap-api-python/blob/master/src/examples/basic-spider-scan.py - 它使用 python API,但无论您使用什么客户端,底层 API 都是相同的。该 java 示例需要更新 ;)

顺便说一句,在您的代码中,您将执行被动扫描而不是主动扫描(ZAP 实际上攻击您的应用程序)。这是你想要的吗?

【讨论】:

被动扫描只是为了尝试。 Python 示例非常有用,等待records_to_scan 完美运行,谢谢!

以上是关于如何检查扫描后是不是生成了 ZAP 报告/警报?的主要内容,如果未能解决你的问题,请参考以下文章

owasp 十大漏洞中的 ZAP 警报分类

ZAP 报告警报中少数属性的意义

Owasp ZAP工具 - 如何获取通过的测试列表

如何检查用户之前是不是在 iOS 中查看过推送通知权限警报视图?

CSRF 和 OWASP ZAP

如何在 Azure DevOps 的 OWASP ZAP 扫描中使用 XSLT 文件添加误报?