Как использовать ZAP для автоматизации активного сканирования во время HTTP Post?

Question

есть ли лучший способ использовать ZAP для активного сканирования? Например,

... мы хотим активно сканировать страницу входа, чтобы ввести код инъекции, чтобы увидеть, будет ли функция входа в системувпрыскивается или нет ..

И мы надеемся реализовать полное сканирование в сценарии с библиотекой zapv2, есть ли лучший способ сделать это?

В настоящее время мы можем использовать скрипт zapv2 для приятного пассивного сканирования сайта, но пока не имеем представления о том, как использовать ZAP / zapV2 для автоматизации активного сканирования

Answer 1

В репозитории github есть примеры: https://github.com/zaproxy/zap-api-python/tree/master/src/examples

Здесь есть достойная запись: https://www.coveros.com/scripting-owasp-zap/ В вики zaproxy тоже есть детали: https://github.com/zaproxy/zaproxy/wiki/ApiPython и т. Д.

Вот пример запуска активного сканирования через API Python (при условии, что вы уже выполнили какие-либо модульные тесты или провели прокси для создания дерева сайтов, и что определено target):

print ('Active Scanning target {}'.format(target))
scanid = zap.ascan.scan(target)
while (int(zap.ascan.status(scanid)) < 100):
    # Loop until the scanner has finished
    print ('Scan progress %: {}'.format(zap.ascan.status(scanid)))
    time.sleep(5)

print ('Active Scan completed')

Конечно, вы также можете просто запустить google или duckduckgo или любой другой ваш любимый поисковик и попробовать что-то вроде "примеров zaproxy python".