إجراءات المسح الديناميكي

برنامج Zap

أداة المسح الضوئي Web Mobile Local API Extension Serverless التعليمات
OWASP® Zed Attack Proxy (ZAP)

استخدِم OWASP ZAP ; حاوية Zap الإرساء لإجراء عمليات فحص ديناميكية مبرمَجة (DAST) على تطبيقك. وتحتوي ملفات الضبط المحدّدة مسبقًا على جميع CWES اللازمة. كل ما عليك فعله هو إضافته إلى بيئتك وأمر Runer run.

لتعريف كل نوع انقر هنا أنواع التطبيقات

يمكن إجراء فحص كامل على الويب أو الأجهزة الجوّالة أو التطبيقات الداخلية باتّباع الخطوات التالية:

  1. سيتم تنفيذ عمليات فحص DAST وواجهة برمجة التطبيقات باستخدام صورة شريط إرساء ZAP. بالنسبة إلى التطبيقات على الويب أو على الأجهزة الجوّالة أو التطبيقات الداخلية، يجب تشغيل فحص ZAP الكامل على بيئة prod-1 أو مرحلية. 

  2. نزِّل ملف الإعداد zap-casa-config.conf وانتقِل إلى دليله. 

  1. عليك إنشاء ملف سياق ليتم فحصه ضوئيًا. يُرجى الاطّلاع على تعليمات المصادقة أدناه للحصول على مزيد من التفاصيل.

  1. شغِّل الأمر التالي: 

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-full-scan.py 
-t https://example.com -P 8080 
-c zap-casa-config.conf 
-x results-full.xml -n example.context -U username

  1. سيتم حفظ النتائج في ملف XML (على سبيل المثال مرفق هنا: zap-results-full.xml)

يمكن فحص واجهة برمجة التطبيقات باتّباع الخطوات التالية:

  1. بالنسبة إلى عمليات فحص واجهة برمجة التطبيقات، استخدِم ملف الإعداد zap-casa-api-config.conf

  1. الانتقال إلى الدليل وتشغيل الأمر التالي

docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
-t owasp/zap2docker-stable zap-api-scan.py 
-t https://example.com -f openapi-P 8080 
-c zap-casa-api-config.conf 
-x results-full.xml

  1. سيتم حفظ النتائج في ملف XML (على سبيل المثال مُرفق هنا: zap-results-api.xml )

المصادقة

يجب إجراء عمليات فحص ZAP باستخدام المصادقة لمعرفة مكان تخزين بيانات المستخدم والوصول إليها. يتطلب هذا الإعداد قبل إجراء عمليات الفحص. تسمح صورة Zap الإرساء بوسيطتين تتعلق بالمصادقة:

-n context_file

ملف السياق الذي سيتم تحميله قبل فحص الهدف

-مستخدم

اسم المستخدم المطلوب استخدامه لعمليات الفحص التي تمت مصادقتها. يجب تحديد المستخدم في ملف السياق المحدّد. 

لضبط هذه المعلّمات، يجب إنشاء ملف سياق. ويتم تنفيذ ذلك بسهولة أكبر من خلال واجهة مستخدم ZAP Desktop.

سياق Zap

  1. اضبط آلية المصادقة. يتيح برنامج Zap حاليًا خمس طرق للمصادقة:

    • مصادقة يدوية

    • المصادقة المستندة إلى النموذج

    • مصادقة HTTP/NTLM

    • المصادقة المستندة إلى النص البرمجي

    • المصادقة المستندة إلى JSON

مصادقة Zap
  1. حدِّد معلّمات المصادقة. ويتضمن ذلك بشكل عام عنوان URL لصفحة تسجيل الدخول وتنسيق الحمولة (اسم المستخدم وكلمة المرور). ترتبط المعلمات المطلوبة بطرق المصادقة المستخدمة.
Zap إعداد المصادقة
  1. يُرجى إضافة مستخدم وكلمة مرور صالحين. إنشاء مستخدمين متعددين إذا أظهر التطبيق وظائف مختلفة استنادًا إلى الأدوار.
Zap إعداد المستخدمين

بعد ضبط هذه الإعدادات، يمكنك تصدير السياق كملف لاستخدامه في عملية الفحص.

سياق تصدير Zap

احرص على حفظ السياق في مكان يسهل الرجوع إليه، حيث ستحتاج إلى تضمين مسار الملف كوسيطة لأمر الفحص. وسيكون بإمكانك الآن إجراء فحص تمت مصادقته باستخدام معلومات تسجيل دخول المستخدم المحدّدة ضمن السياق. مثال:

zap إنشاء مستخدم 
  docker run -p 8080:8080 -v $(pwd):/zap/wrk/:rw 
  -t owasp/zap2docker-stable zap-full-scan.py 
  -t https://example.com -P 8080 
  -c zap-casa-config.conf -x results-full.xml 
  -n /Users/DemoUser/Documents/Context.context -U test@example.com