如何定义我们自己的 ZAP 活动规则？

Posted 2023-02-19

【中文标题】如何定义我们自己的 ZAP 活动规则？

【英文标题】：How to define our own ZAP active rule?

【发布时间】：2019-03-19 15:46:32

【问题描述】：

我们想使用 ZAP 来扫描我们的网站漏洞问题

有没有办法为我们的业务定义我们自己的活动规则......？

例如，我们想检查是否有任何 javascript 将任何数据发布到不在白名单中的网站...？

那么，也许我们可以在 ZAP 插件中实现这个功能，但是如何创建我们自己的 ZAP 插件...？

【参考方案1】：

我们想检查是否有任何 javascript 将任何数据发布到网站 不在白名单中的...？

那将是被动规则而不是主动规则。

您可以创建脚本，也可以使用 ZAP 附带的模板。您还可以在此处找到社区示例：https://github.com/zaproxy/community-scripts

还有一组博文可以帮助你：

https://www.zaproxy.org/blog/2014-04-03-hacking-zap-3-passive-scan-rules/ https://www.zaproxy.org/blog/2014-04-30-hacking-zap-4-active-scan-rules/ https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0

主动扫描与被动扫描：

被动扫描规则会在流量通过 ZAP（代理、 或爬虫，可选地模糊）而不发出任何请求 他们自己。 主动扫描规则在主动扫描期间运行，并且确实使 通过更改请求参数/详细信息来引出某些请求 响应或行为的类型。

【讨论】：

谢谢您的回答...主动扫描和被动扫描有什么区别..？

被动扫描规则会在流量通过 ZAP（代理或蜘蛛，可选 Fuzzed）时查看流量，而不会自己发出任何请求。主动扫描规则在主动扫描期间运行，并通过更改请求参数/详细信息来引发某些类型的响应或行为来发出请求。

对于您的特定用例，POST 必须实际发生，或者有一个可以分析的表单。 plug-n-hack 插件支持一些客户端事件，例如 postMessage (github.com/zaproxy/zap-core-help/wiki/…)。还有一组即将到来的贡献 FrontEndScanner 和 FrontEndTracker blog.xaviermaso.com/2018/10/01/…)

非常感谢您的回答