Как определить наше собственное активное правило ZAP?

Question

мы хотим использовать ZAP для сканирования проблем уязвимости нашего сайта

есть ли способ определить наше собственное активное правило для нашего бизнеса ..?

например, мы хотим проверить этоесть ли javascript для публикации каких-либо данных на сайтах, которых нет в белом списке?

Answer 1

мы хотим проверить, есть ли в javascript публикация любых данных на сайты, которых нет в белом списке ...?

Это было бы пассивным правилом, а не активным.

Вы можете создать либо в виде скрипта, есть шаблоны, которые поставляются с ZAP.Вы также можете найти примеры сообщества здесь: https://github.com/zaproxy/community-scripts

Существует также ряд постов в блоге, которые могут вам помочь:

• https://zaproxy.blogspot.com/2014/04/hacking-zap-3-passive-scan-rules.html
• https://zaproxy.blogspot.com/2014/04/hacking-zap-4-active-scan-rules.html
• https://medium.com/@omerlh/how-to-scripting-owasp-zap-with-javascript-1c1898b1e7e0

Активное сканирование против пассивного сканирования:

• Правила пассивного сканирования проверяют трафик при его прохождении через ZAP (прокси или пауза), опционально Fuzzed) без каких-либо запросов сами.
• Правила активного сканирования запускаются во время активного сканирования и делают запросы, изменяя параметры / детали запроса, чтобы вызвать определенные типы ответов или поведения.