我知道一种方法是使用“https://dzone.com/articles/automate-zap-security-tests-with-selenium-webdrive-1”
但是是否有直接的命令可以通过 OWASP ZAP 扫描我们的 selenium 应用程序执行情况?
- 在后台运行代理的 OWASP ZAP。
- 执行我们独立的 selenium 脚本来执行。(尤其是覆盖 login )。
- 如果可能,爬虫收集报告。
我认为这应该是一个完整的项目。很少有网站可以公开或无需登录。
1 回答
3
您可以使用 docker。
安装或拉取 docker 镜像 -
" docker pull owasp/zap2docker-stable "您可以使用以下命令以无头模式启动 ZAP -
" docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name=.* -config api.addrs.addr.regex=true -config api.disablekey=true "独立运行您的 Selenium 测试,但在 selenium 测试中配置代理以访问端口 8080(或您使用的任何一个)。
以下命令将在容器中生成报告 -
" docker exec $container_Id zap-cli report -o vulnerability.html -f HTML "
您可以在任何地方复制此报告。然后停止容器并将其移除。
于 2020-08-25T23:18:03.527 回答