ZAP Docker Результаты пассивного сканирования

Question

Я создал контейнер Zap (внутри докера) с помощью команды

docker run -u zap -p 8080: 8080 -i owasp / zap2docker-stable zap-x.sh -daemon -host 0.0.0.0 -port 8080 -config api.addrs.addr.name =. * -Config api .addrs.addr.regex = true -config api.key =

С соответствующим ключом API. Контейнер работает и все в порядке.

Я сделал свое собственное приложение, которое тоже работает в Docker, чтобы прокси-сервер для всех html-коммуникаций через контейнер Zap. Моя цель состоит в том, чтобы Зап пассивно проанализировал весь трафик на проблемы безопасности.

Вопрос в том, как я могу получить данные пассивного сканера из этого контейнера ZAP без использования пользовательского интерфейса? Что такое команда для генерации отчета по пассивным результатам?

Answer 1

оповещения , генерируемые при активном или пассивном сканировании (скрипты, дополнения и т. Д.) Или полные отчеты, можно получить через API Zap: https://github.com/zaproxy/zaproxy/wiki/ApiDetails

Соответствующие конечные точки API включают (но не ограничиваются ими):

• предупреждение / просмотр / alertsSummary /
• предупреждение / просмотр / alertsByRisk /
• оповещение / просмотр / оповещения /
• Оповещение / просмотр / alertCountsByRisk /
• ядро ​​/ другое / htmlreport /
• ядро ​​/ другое / jsonreport /
• ядро ​​/ другие / mdreport /
• ядро ​​/ другое / xmlreport /
• ядро ​​/ просмотр / оповещения /
• ядро ​​/ вид / alertsSummary /

В репозиториях Python и gava API github есть примеры программ использования API. Существует также множество общедоступных блогов, статей и видео об использовании ZAP через его API для различных сценариев автоматизации. (Все это всего лишь быстрый поиск в сети.)